一次簡單的服務(wù)器 cpu 占用率高的快速排查實戰(zhàn)

前兩天，朋友遇到一個線上 cpu 占用率很高的問題，我們倆一起快速定位并解決了這個問題。在征求朋友同意后，特發(fā)此文分享整個過程。本文以對話的形式展開，加上我的內(nèi)心獨白。文中對話與實際對話略有出入。

友： 在嗎？

我： 怎么了兄弟？

友： 這邊有一臺服務(wù)器客戶說 cpu 占用率高，懷疑挖礦了。

我： 用 wpr 抓一下吧，這是個服務(wù)進(jìn)程。

旁白：一看截圖是 svchost 進(jìn)程，最先想到的是抓一個系統(tǒng)運行過程。正常情況下，svchost 是微軟的服務(wù)進(jìn)程。

我： 看看是什么服務(wù)。

旁白：盡量縮小范圍，此時我潛意識里還以為是朋友自己的程序出了問題。

我： 先看看命令行 看看是哪類服務(wù)。

旁白：通過命令行可以看出啟動的是什么類型的服務(wù)。

友：

我：svchost 應(yīng)該不會放到 c:\temp下面的，應(yīng)該是個病毒了。

旁白：正常的 svchost 不會在 c:\temp 下出現(xiàn)，而是在 C:\Windows\System32\ 下。

我： 看看這個程序有微軟簽名嗎?

旁白：為了進(jìn)一步確認(rèn)，請朋友確認(rèn)這個 svchost 是否有微軟的簽名。如果沒簽名，是病毒無疑了。

友：

我： 這個文件沒簽名的？

旁白：WC，沒想到還真是病毒。

我： 應(yīng)該是被人動過手腳了。

我： 用 autoruns 看下啟動項。

旁白：確定是病毒后，接下來的任務(wù)就是殺毒了。先查下這個病毒是怎么運行起來的吧。

從上面的截圖中我看到了svchost.exe的父進(jìn)程是taskhost.exe。

我：到 hedule task下面找到可疑的啟動項，刪掉。這個進(jìn)程可以直接殺了，應(yīng)該是中毒了。

旁白：從上面的截圖中我看到了 svchost.exe 的父進(jìn)程是 taskhost.exe。

友：

我： 管理員權(quán)限開了嗎？看上去沒有可疑的。

旁白：朋友開了管理員權(quán)限，也沒有發(fā)現(xiàn)可疑項目。

我： 看下服務(wù)里面有沒有可疑的。

旁白：有可能是通過服務(wù)啟動的。

友：

我： 可疑！

友： 這個里面也沒簽名。

友： 中毒了。

友： 謝謝！

旁白：朋友還順便發(fā)了個紅包，太客氣了！

完！