top命令

top命令

第一行：

10:01:23 — 当前系统时间
126 days, 14:29 — 系统已经运行了126天14小时29分钟（在这期间没有重启过）
2 users — 当前有2个用户登陆系统
load average: 1.15, 1.42, 1.44 — load average后面的三个数分别是1分钟、5分钟、15分钟的负载状况。
load average数据是每隔5秒钟检查一次活跃的进程数，而后按特定算法计算出的数值。若是这个数除以逻辑CPU的数量，结果高于5的时候就代表系统在超负荷运转了。

第二行：

Tasks — 任务（进程），系统如今共有183个进程，其中处于运行中的有1个，182个在休眠（sleep），stoped状态的有0个，zombie状态（僵尸）的有0个。

 

第三行：cpu状态

6.7% us — 用户空间占用CPU的百分比。
0.4% sy — 内核空间占用CPU的百分比。
0.0% ni — 改变过优先级的进程占用CPU的百分比
92.9% id — 空闲CPU百分比
0.0% wa — IO等待占用CPU的百分比
0.0% hi — 硬中断（Hardware IRQ）占用CPU的百分比
0.0% si — 软中断（Software Interrupts）占用CPU的百分比

第四行：内存状态
8306544k total — 物理内存总量（8GB）
7775876k used — 使用中的内存总量（7.7GB）
530668k free — 空闲内存总量（530M）
79236k buffers — 缓存的内存量 （79M）

第五行：swap交换分区

2031608k total — 交换区总量（2GB）
2556k used — 使用的交换区总量（2.5M）
2029052k free — 空闲交换区总量（2GB）
4231276k cached — 缓冲的交换区总量（4GB）

 

第七行如下：各进程（任务）的状态监控
PID — 进程id
USER — 进程全部者
PR — 进程优先级
NI — nice值。负值表示高优先级，正值表示低优先级
VIRT — 进程使用的虚拟内存总量，单位kb。VIRT=SWAP+RES
RES — 进程使用的、未被换出的物理内存大小，单位kb。RES=CODE+DATA
SHR — 共享内存大小，单位kb
S — 进程状态。D=不可中断的睡眠状态 R=运行 S=睡眠 T=跟踪/中止 Z=僵尸进程
%CPU — 上次更新到如今的CPU时间占用百分比
%MEM — 进程使用的物理内存百分比
TIME+ — 进程使用的CPU时间总计，单位1/100秒
COMMAND — 进程名称（命令名/命令行）

top查看各进程的内存占用

top -c 后输入大写的 M

进程会按照占用的内存大小排序。

free命令查看内存

free -h 

带上-m查出来的内存单位为m,-h查询出为human可读的

查找木马

运行top命令，发现有奇怪的进程

find / -name COMMAND一下

杀了进程kill -9 PID

继续find / -name COMMAND一下,嘿!没了!

若是就这么结束了，显然就没必要要这么记一下了。

------------------------------------------------这是一条杀不死的分割线------------------------------------------------

top一下，很显然多了另外一个进程，木马果真没那么容易杀死。不管是kill掉进程仍是删除木马文件仍是删除启动文件，其余的都会被删除，而后生成一个文件名彻底不一样的进程和对应的木马文件及启动文件。

find / -name COMMAND一下，和第一次同样会有两个文件

 cat一下，这个是开机启动文件，开机时会执行/usr/bin/clmsgagkvc这个文件。

 

第二个文件cat一下，屏幕一片花花绿绿，是个很大的文件，就是木马文件了。

find /usr/bin -size +600  #查看/usr/bin目录下大于600k的文件，会发现好多奇怪的文件

。。。

通过一系列斗争，我选择重装系统。。。