rootkit?
CC @RIcter

ls -a /proc/561
看下是什么玩意


. cmdline fd maps numa_maps root statm
.. comm fdinfo mem oom_adj sched status
attr coredump_filter gid_map mountinfo oom_score sessionid syscall
autogroup cpuset io mounts oom_score_adj setgroups task
auxv cwd limits mountstats pagemap smaps timers
cgroup environ loginuid net personality stack uid_map
clear_refs exe map_files ns projid_map stat wchan


我勒个去……找到了



@OneAPM

受不了了，这又是软文么？

表示大半夜突然看到这个东西很惊悚而已……非软文

已卸载apm

昨天有人发了软文，有v用户就安装试试看呗。这个应该不是软文。

你这是什么命令运行的？为什么我打开的不能像你这样有分叉的？

标题中不是说了htop吗

遇到 thread name 异常的情况可以先看是不是 root 权限，如果是就有很大可能是它主动调用了 prctl 或者修改了 argv[0] 的信息。
prctl 对应的是 /proc/$pid/status
argv[0] 对应的是 /proc/$pid/cmdline
如果是 rootkit 的话，它根本不会在 ps/top 中显示出来。

我也是htop 啊 。但是也不一样啊。进程没有显示出 父进程 子进程的关系

F5 切换到 tree 模式

明白了。 谢谢

内核线程



看到了，只是看了一眼后，然后看到几个关键字。然后根据这几天看到的，就幻觉了

ls -al /proc/进程号