top:

 Top命令显示了实际CPU使用情况，默认情况下，它显示了服务器上占用CPU的任务信息并且每5秒钟刷新1次。



下面是输出的标志：

us：用户空间占CPU百分百

sy：内核空间占CPU百分比

ni：用户进程空间内改变过优先级的进程占用CPU百分比

id：空闲进程占CPU百分比

wa：等待输入输出占CPU的百分比

PID：进程标志

USER:进程所有者的用户名

PR:进程的优先级

NI：nice级别

VIRT:进程使用的虚拟内存总量（VIRT = SWAP + RES）

RES:进程使用的未被换出的物理内存

SHR：共享内存的大小

S：进程状态

%CPU：共享的CPU使用

%MEM；共享的物理内存

TIME+：进程占用CPU的时间，单位1/100秒

COMMAND：启动任务的命令行（包括参数）

简单介绍到这，更详细的可通过man获得


vmstat：

vmstat命令是最常见的Linux/Unix监控工具，可以展现给定时间间隔的服务器的状态值,包括服务器的CPU使用率，内存使用，虚拟内存交换情况,IO读写情况。一般vmstat工具的使用是通过两个数字参数来完成的，第一个参数是采样的时间间隔数，单位是秒，第二个参数是采样的次数，如:


下面是输出的标志：

r：表示等待cpu运行队列中进程的数量

b：表示阻塞进程的数量

swpd：表示虚拟内存已经使用的大小，如果大于0说明物理内存已经不够用了。

free：空闲的物理内存大小。

buff：用来存储目录内容，权限的缓存。

cache：缓存

si：每秒从磁盘读入虚拟内存的大小，如果这个值大于0，表示物理内存不够用或者内存泄露了，要查找耗内存进程解决掉。

so：每秒从虚拟内存写入磁盘的大小，如果大于0同上

bi：块设备每秒接受的块数量

bo：块设备每秒发出的块数量

in：cpu的每秒中断次数，包括时钟中断。

cs：每秒上下文切换次数。

us：用户程序运行cpu时间

sy：内核程序运行cpu时间

id：系统空闲cpu时间

wa：IO等待cpu时间

sar -q：

进程队列长度和平均负载状态监控，每10秒监控一次，后面还可以输入数字显示监控几次。



下面是输出的标志：

runq-sz：运行队列的长度。

plist-sz:当前系统的进程个数。

ldavg-1：过去1分钟的平均值

ldavg-5：过去5分钟的平均值

idavg-15：过去15分钟的平均值

sar -w： 查看上下文切换的平均次数，以及进程创建的平均值；

-------------------------------------------------------------------------------------------------------------------

查看cpu的利用率：

mpstat：

mpstat显示所有cpu的

mpstat -P 0 1：表示隔一秒显示一次0号cpu的信息


usr、nice、sys、iowait、idle基本上与前面的一样。

irp：显示中断的

soft：软中断

steal：被虚拟机偷走的

guest：被虚拟机使用的

idle：空闲的

iostat：

用来报告cpu的统计数据与输入与输出的统计数据

-c表示cpu的，-c 1 6也是每隔一秒采样六次，其余选项可通过man来获得


dstat：
dstat 是一个可以取代vmstat，iostat，netstat和ifstat这些命令的多功能产品。dstat克服了这些命令的局限并增加了一些另外的功能，增加了监控项，也变得更灵活了。dstat可以很方便监控系统运行状况并用于基准测试和排除故障。

-–disk-util ：显示某一时间磁盘的忙碌状况

-–freespace ：显示当前磁盘空间使用率

-–proc-count ：显示正在运行的程序数量

-–top-bio ：指出块I/O最大的进程

-–top-cpu ：图形化显示CPU占用最大的进程

-–top-io ：显示正常I/O最大的进程

-–top-mem ：显示占用最多内存的进程

这几个可以同时使用



其余的可通过man查看

关于cpu与进程的绑定，这里就不再介绍了，使用taskset命令。
。

一、共享内存工作原理
1.1、为什么要用共享内存


进程之间的数据空间是完全独立的，因此进程间如果需要通信就必须在内核中创建一块可以共同访问的资源，共享内存就是其中的一种。


1.2、共享内存工作原理


共享内存是位于内核中的一段内存，假设地址是0x1000-0x4000。我们可以在进程A中定义一个指针* w，p指向0x1000,在进程B中定义一个指针* r同样指向0x1000地址。那么当我们使用指针w在进程A中改变0x1000地址的内容时，我们可以在进程B中使用指针r获取0x1000地址的内容，从而实现了进程间的通信。



注：图片来源http://blog.sina.com.cn/s/blog_154b516360102x3v6.html
1.3、共享内存的优缺点


共享内存的优点在于，它直接访问物理内存，不需要进行数据的拷贝等操作，因此是IPC通信中速度最快的通信方式。它的缺点在于，共享内存并未提供同步机制，因此使用中通常需要添加信号量等机制进行数据的同步。
二、共享内存创建和使用流程

使用ftok创建一个key；
使用shmget打开或者创建一个共享内存；
使用shmat将指针指向内核中的一块内存；
直接操作指向内存的指针读写数据；
使用shmdt将指针和共享内存之间的连接断开；
使用shmctl删除共享内存的相关资源；

三、共享内存相关函数
#include <sys/ipc.h>
#include <sys/shm.h>

2.1、ftok函数
key_t ftok(const char *pathname, int proj_id);

这个函数的介绍请参考https://blog.csdn.net/weixin_39270987/article/details/108173456
2.2、shmget函数
int shmget(key_t key, size_t size, int shmflg);


函数功能

创建或者一块共享内存，使用size指定共享内存的大小，这个函数和信号量中的semget以及消息队列中的msgget格式相同；
shmflag常用选项如下


shmget(key,size,0666|IPC_CREAT);

以可读可写的方式打开或者一块共享内存，如果key已经和共享内存绑定则打开这块共享内存，如果key没有绑定共享内存则创建一块新的共享内存；
shmget(key,size,0666|IPC_CREAT|IPC_EXCL);

如果key已经绑定了一块共享内存，那么shmget返回-1，并将errno设置为EEXIST。
shmget(key,size,0666|IPC_PRIVATE);

创建一块共享内存，这块内存只能在具有亲缘关系的进程（通常是子进程）之间使用；

2.3、shmctl函数
int shmctl(int shmid, int cmd, struct shmid_ds *buf);

函数功能

shmctl的功能和semctl、msgctl类似，我们可以通过shmctl设置和获取共享内存的一些信息，详细内容可以通过在linux下man shmctl来查看；
在共享内存的使用中，shmctl使用shmctl(shmid,0,IPC_RMID)来删除共享内存相关的资源；

2.4、shmat函数
void *shmat(int shmid, const void *shmaddr, int shmflg);

函数功能

给共享内存分配一个起始地址，这个地址通常交给系统自动分配，也可以由用户指定，但地址必须是页对齐的；
如果shmaddr为NULL，系统会为共享内存指定一个页对齐的地址，这时shmflag可以设置为0；
如果shmaddr不为NULL，并且shmflag设置为SHM_RND，那么系统会指定和shmaddr最近并且是SHMLBA整数倍的地址作为共享内存的其实地址，个人理解SHMLBA应该是硬件一次可擦除的最小值，比如spi flash通常可擦除的最小值是4KB;

返回值

成功返回共享内存的起始地址，失败返回-1，并将错误代码存储到errno中。

2.5、shmdt函数
int shmdt(const void *shmaddr);

函数功能

将共享内存的地址和shmaddr分离，之后shmaddr不再指向共享内存；
shmdt并不删除共享内存相关的资源，需要调用shmctl(shmid,0,IPC_RMID)；

返回值：

成功返回0，失败返回-1，并将错误信息放到errno中。

四、示例：
#include <string.h>
#include <stdio.h>
#include <unistd.h>
#include <sys/types.h>
#include <sys/ipc.h>
#include <sys/shm.h>

typedef struct{
	int flag;
	char str[128];
}mem_data_t;

int main(int argc,char *argv[])
{
	char path[]=".";
	int proj_id = 's';
	key_t key;
	int shmid = -1;
	int pid = -1;
	int ret = -1;
	int count = 0;
	mem_data_t *data;
	
	key = ftok(path,proj_id);
	if(key < 0)
	{
		perror("key create error\r\n");
		return -1;
	}
	shmid = shmget(key,1,0666|IPC_CREAT);
	if(shmid < 0)
	{
		perror("sem get error\r\n");
		return -1;
	}
	data = shmat(shmid,NULL,0);
	if(NULL == data)
	{
		perror("shmat error\r\n");
		return -1;
	}
	memset(data,0,sizeof(mem_data_t));
	pid = fork();
	if(0 == pid)//子进程中写共享内存
	{
		while(1)
		{
			while(data->flag == 1)
			{
				sleep(1);
			}
			printf("enter som data:");
			fgets(data->str,128,stdin);
			data->flag = 1;
			if(0 == strncmp(data->str,"exit",4))
				break;
		}
	}
	else //父进程中读共享内存
	{
		mem_data_t read_dat;
		while(1)
		{
			while(data->flag == 0)
			{
				sleep(1);
			}
			data->flag = 0;
			printf("read mem data:%s",data->str);
			if(0 == strncmp(data->str,"exit",4))
				break;
		}
		wait(NULL);
		printf("delete shm\r\n");
		if(shmdt(data) == -1)   
		{      
			perror("shmdt failed\n");     
			return -1;
		}  
		ret = shmctl(shmid,0,IPC_RMID);//删除共享内存
		if(ret<0)
		{
			perror("shm delete error\n");
			return -1;
		}
	}
	
	return 0;
}

运行结果

没接到登录告警，腾讯云服务器又卡了，基本登录不上，然后就改了密码，又重启了几次。还要接着清病毒啊！


这个病毒不一定是在第一，看PID数较大的。NI




看下进程优先级，优先级取值范围为（-20,19），越小优先级越高, 默认优先级是0

命令1：nice  指定程序的运行优先级

格式：nice n command

命令2：renice   改变程序的运行优先级

格式：renice -n pid

top -p PID能查看这个PID的优先级，就是NI的值



这里是0


查看下这个进程，用进程名


[root@VM_0_3_centos ~]# ps -ef|grep YDService
root     21445 20209  0 09:47 pts/0    00:00:00 grep --color=auto YDService
root     29975     1  1 02:27 ?        00:05:26 /usr/local/qcloud/YunJing/YDEyes/YDService -stubMod
 

UID: 启动这些进程的用户

PID: 进程的ID

PPID: 父进程的进程号

C: 进程生命周期中的CPU利用率

STIME: 进程启动时的系统时间

TTY: 表明进程在哪个终端设备上运行。如果显示  ?表示与终端无关，这种进程一般是内核态进程。另外， tty1-tty6 是本机上面的登入者程序，若为 pts/0 等，则表示运行在虚拟终端上的进程。

TIME: 运行进程一共累计占用的CPU时间

CMD: 启动的程序名称
这个在这里就看到这个木马放的位置了，可以删除



可以看到文件的修改日期有新的，这个文件里面有病毒，具体的还关联了那些文件还要再用lsof找

lsof命令用于查看你进程打开的文件，打开文件的进程，进程打开的端口(TCP、UDP)

-i<条件>：列出符合条件的进程。（4、6、协议、:端口、 @ip ）

-p<进程号>：列出指定进程号所打开的文件；

lsof -p  43641  #一般用于查看木马进程，在读哪些文件

lsof -i :22    #用于查看端口，或查看黑客开启的后门端口是哪个进程在使用

[root@VM_0_3_centos YunJing]# lsof -p 29975
COMMAND     PID USER   FD      TYPE DEVICE SIZE/OFF   NODE NAME
YDService 29975 root  cwd       DIR  253,1     4096 656356 /usr/local/qcloud/YunJing/YDEyes
YDService 29975 root  rtd       DIR  253,1     4096      2 /
YDService 29975 root  txt       REG  253,1  7678296 669462 /usr/local/qcloud/YunJing/YDEyes/YDService
YDService 29975 root  mem       REG  253,1   105824   3939 /usr/lib64/libresolv-2.17.so
YDService 29975 root  mem       REG  253,1    31408   3927 /usr/lib64/libnss_dns-2.17.so
YDService 29975 root  mem       REG  253,1    61624   3929 /usr/lib64/libnss_files-2.17.so
YDService 29975 root  mem       REG  253,1  2156160   3911 /usr/lib64/libc-2.17.so
YDService 29975 root  mem       REG  253,1    88776     13 /usr/lib64/libgcc_s-4.8.5-20150702.so.1
YDService 29975 root  mem       REG  253,1  1137024   3919 /usr/lib64/libm-2.17.so
YDService 29975 root  mem       REG  253,1   991616   4235 /usr/lib64/libstdc++.so.6.0.19
YDService 29975 root  mem       REG  253,1   142232   3937 /usr/lib64/libpthread-2.17.so
YDService 29975 root  mem       REG  253,1    43776   3941 /usr/lib64/librt-2.17.so
YDService 29975 root  mem       REG  253,1    19288   3917 /usr/lib64/libdl-2.17.so
YDService 29975 root  mem       REG  253,1   163400   3501 /usr/lib64/ld-2.17.so
YDService 29975 root    0u      CHR    1,3      0t0   5342 /dev/null
YDService 29975 root    1u      CHR    1,3      0t0   5342 /dev/null
YDService 29975 root    2u      CHR    1,3      0t0   5342 /dev/null
YDService 29975 root    3w      REG  253,1  3232344 655797 /usr/local/qcloud/YunJing/log/ydservice.20200609.log
YDService 29975 root    4u  a_inode   0,10        0   5338 [eventpoll]
YDService 29975 root    5uW     REG   0,20        5  19620 /run/YDService.pid
YDService 29975 root    7u     IPv4  60723      0t0    TCP VM_0_3_centos:35870->169.254.0.55:lsi-bobcat (ESTABLISHED)


看下最后一行
VM_0_3_centos:35870->169.254.0.55:lsi-bobcat (ESTABLISHED)

好了，知道攻击服务器的地址了，也知道自己哪个端口用于发送文件了，禁禁禁

制止ip169.254.0.55
[root@VM_0_3_centos YunJing]#  iptables -A INPUT -p tcp -s 169.254.0.55 -j DROP

[root@VM_0_3_centos YunJing]# service iptables save
The service command supports only basic LSB actions (start, stop, restart, try-restart, reload, force-reload, status). For other actions, please try to use systemctl.

不能用save，就重新加载吧
[root@VM_0_3_centos YunJing]# service iptables reload
Redirecting to /bin/systemctl reload iptables.service
Authorization not available. Check if polkit service is running or see debug message for more information.
Failed to reload iptables.service: Connection timed out
See system logs and 'systemctl status iptables.service' for details.




这个重新加载也不行,重启也报错，试下关了之后再启动

然后删除文件，kill掉进程；

[root@VM_0_3_centos YunJing]# kill -9 29975
[root@VM_0_3_centos YunJing]# ps -ef|grep YDService
root     23213 20209  0 10:19 pts/0    00:00:00 grep --color=auto YDService
[root@VM_0_3_centos YunJing]# cd /usr/local/qcloud/YunJing/YDEyes
[root@VM_0_3_centos YDEyes]# ll
total 7512
-rw-rw-rw- 1 root root    8642 Jun  5 02:42 log.txt
-rwx------ 1 root root 7678296 Feb 25 16:24 YDService
[root@VM_0_3_centos YDEyes]# rm -f YDService 
[root@VM_0_3_centos YDEyes]# ps -ef|grep YDLive
root      1982     1  0 Jun08 ?        00:03:53 /usr/local/qcloud/YunJing/YDLive/YDLive
root     23265 20209  0 10:20 pts/0    00:00:00 grep --color=auto YDLive
[root@VM_0_3_centos YDEyes]# lsof -p 1982
COMMAND  PID USER   FD   TYPE DEVICE SIZE/OFF   NODE NAME
YDLive  1982 root  cwd    DIR  253,1     4096 656363 /usr/local/qcloud/YunJing/YDLive
YDLive  1982 root  rtd    DIR  253,1     4096      2 /
YDLive  1982 root  txt    REG  253,1  3281208 669463 /usr/local/qcloud/YunJing/YDLive/YDLive
YDLive  1982 root  mem    REG  253,1   105824   3939 /usr/lib64/libresolv-2.17.so
YDLive  1982 root  mem    REG  253,1    31408   3927 /usr/lib64/libnss_dns-2.17.so
YDLive  1982 root  mem    REG  253,1    61624   3929 /usr/lib64/libnss_files-2.17.so
YDLive  1982 root  mem    REG  253,1  2156160   3911 /usr/lib64/libc-2.17.so
YDLive  1982 root  mem    REG  253,1    88776     13 /usr/lib64/libgcc_s-4.8.5-20150702.so.1
YDLive  1982 root  mem    REG  253,1  1137024   3919 /usr/lib64/libm-2.17.so
YDLive  1982 root  mem    REG  253,1   991616   4235 /usr/lib64/libstdc++.so.6.0.19
YDLive  1982 root  mem    REG  253,1   142232   3937 /usr/lib64/libpthread-2.17.so
YDLive  1982 root  mem    REG  253,1    43776   3941 /usr/lib64/librt-2.17.so
YDLive  1982 root  mem    REG  253,1    19288   3917 /usr/lib64/libdl-2.17.so
YDLive  1982 root  mem    REG  253,1   163400   3501 /usr/lib64/ld-2.17.so
YDLive  1982 root    0u   CHR    1,3      0t0   5342 /dev/null
YDLive  1982 root    1u   CHR    1,3      0t0   5342 /dev/null
YDLive  1982 root    2u   CHR    1,3      0t0   5342 /dev/null
YDLive  1982 root    3w   REG  253,1    22032 655795 /usr/local/qcloud/YunJing/log/ydlive.20200609.log
YDLive  1982 root    4uW  REG   0,20        0  18197 /run/YDLive.pid

同样删YDLive
[root@VM_0_3_centos YDEyes]# kill -9 1982
[root@VM_0_3_centos YDEyes]# cd /usr/local/qcloud/YunJing/YDLive
[root@VM_0_3_centos YDLive]# ll
total 3212
-rw-rw-rw- 1 root root      10 Jun  9 08:31 LastUpdateTime.txt
-rwx------ 1 root root 3281208 Feb 25 16:24 YDLive
[root@VM_0_3_centos YDLive]# rm -f YDLive


top 再看下还是内存占用台太大，这个rsyslogd和kworker有点可疑，看下



[root@VM_0_3_centos YDLive]# ps -ef|grep rsyslogd
root      3800     1  0 Jun08 ?        00:02:39 /usr/sbin/rsyslogd -n
root     23492 20209  0 10:24 pts/0    00:00:00 grep --color=auto rsyslogd
[root@VM_0_3_centos YDLive]# ps -ef|grep kworker
root         4     2  0 Jun08 ?        00:00:00 [kworker/0:0H]
root       296     2  1 Jun08 ?        00:20:33 [kworker/0:1H]
root     20082     2  0 09:23 ?        00:00:00 [kworker/u2:1]
root     20083     2  0 09:23 ?        00:00:00 [kworker/0:3]
root     23186     2  0 10:18 ?        00:00:00 [kworker/0:0]
root     23338     2  0 10:21 ?        00:00:00 [kworker/u2:2]
root     23438     2  0 10:23 ?        00:00:00 [kworker/0:1]
root     23520 20209  0 10:25 pts/0    00:00:00 grep --color=auto kworker
root     25023     2  0 00:45 ?        00:00:00 [kworker/u2:0]


不是文件，好像是系统的命令，先杀进程看下会不会重启吧
[root@VM_0_3_centos YDLive]# kill -9 296
[root@VM_0_3_centos YDLive]# kill -9 3800

好像不行


[root@VM_0_3_centos YDLive]# lsof -p 23579
COMMAND    PID USER   FD      TYPE             DEVICE SIZE/OFF   NODE NAME
rsyslogd 23579 root  cwd       DIR              253,1     4096      2 /
rsyslogd 23579 root  rtd       DIR              253,1     4096      2 /
rsyslogd 23579 root  txt       REG              253,1   663904  15792 /usr/sbin/rsyslogd
rsyslogd 23579 root  mem       REG              253,1 83886080 393691 /var/log/journal/0ea734564f9a4e2881b866b82d679dfc/system@fb4ba63256334975987fc388a4771613-0000000000056db8-0005a5fbb0c4760e.journal

哎，重启后不卡了，可是内存还是占用太高。


kworker 是 Linux 内核的一部分，说明内核本身占用了很多 CPU。
这可能是内核或驱动程序的bug所致，但也可能是因为某些用户态程序不断的系统调用所致。
我看到你确实在运行很多消耗CPU的程序，试着把他们逐个关掉，看 kworker 的 CPU 占用是否跟着下降。
实在不行就重装系统了。

这个就不知道什么原因了。
自己把数据库的文件导出来然后重装吧，还是保存下快照文件比较好。

关机 (系统的关机、重启以及登出 ) 

shutdown -h now 关闭系统(1) 

shutdown -h hours:minutes & 按预定时间关闭系统 

shutdown -c 取消按预定时间关闭系统 

shutdown -r now 重启(1) 

reboot 重启(2) 

logout 注销 

sync 同步内存到磁盘，防止关机导致文件丢失

文件/目录操作

Command
			
Description
		
cd
			
改变目录
		
cp
			
复制文件
		
mv
			
移动文件
		
mkdir dir1
			

			
创建一个叫做 'dir1' 的目录'  
			
		
mkdir -p /tmp/dir1/dir2
			
创建一个目录树 
		
ls -l 
			
显示文件和目录的详细资料 
		
ls -a  
			
显示隐藏文件
		
pwd 
			
显示工作路径 
		
rm
			
删除文件/文件夹
		
rm -r
			
递归删除文件/文件夹
		
rm -f
			
强制删除
		
touch
			
创建文件
		
echo
			
向文件内输入字符串
		
 

文件属性


d：目录
	
-：文件
	
l：快捷方式



r：read
	
w：write
	
x：execute




文件权限操作

 
			
 
		
chgrp group1 file1 
			
改变文件的群组
		
chown user1 file1 
			
改变一个文件的所有人属性
		
chown -R user1 directory1
			
改变一个目录的所有人属性并同时改变改目录下所有文件的属性 
		
chmod ugo+rwx directory1
			
设置目录的所有人(u)、群组(g)以及其他人(o)以读（r ）、写(w)和执行(x)的权限
		
chmod go-rwx directory1 
			
删除群组(g)与其他人(o)对目录的读写执行权限
		
 
			
 
		
 
			
 
		
 
			
 
		
 
			
 
		
文件内容查看



链接

硬链接：只要有一个硬链接指向目标文件，目标文件就不会被删除（防止误删）

命令：ln file1 file2

软链接：相当于快捷方式

命令：ln -s file1 file2

Vim编辑器

具有一些丰富的功能作为简单的代码开发工具

三种模式：

命令模式：‘i’进入输入模式；':'进入底线命令模式；'x'删除光标所在字符
	
输入模式
	
底线命令模式
用户操作

useradd username ：增加新用户，-m 同时在home目录下创建对应home文件夹
	
userdel username：删除用户, -r 同时删除对应home目录
	
passwd username：为用户设置密码,-l 锁定用户（该用户无法登录）；-d 清除用户密码
	
su username：切换用户
用户组管理

磁盘管理

df：列出整体磁盘使用量
	
du：列出当前磁盘使用量
进程管理



结束进程

kill -9 pid

安装软件

一般有三种方式

rpm
	
解压缩
	
yum在线安装
rpm

rpm -qa|grep jdk：查看jdk版本信息
	
rpm -ivh rpm包：安装rpm程序
	
rpm -e --nodeps ：卸载程序