关于linux后门木马查杀，这一节课我们来讲资源占用，那怎么排查资源占用，说白了木马病毒或者挖矿的资源如何去查找，他看中的是什么，看重的是你机器里的资源。当然这个资源有可能是无形的资源，比如你们的数据资产，还有其他的一些隐形的资产，大部分的挖矿，还有一些带着一些目的的病毒，它都是有异常的信息的，比如扫描信息，那大量的占用内存大量的占用你的CPU，这个时候发现机器异常，那就需要去处置了。

这就看一下咱们要怎么处置，有哪些命令，并且其中还有一些话术，比如咱们去查找服务器的后门，那怎么去跟客户沟通，首先我们看一下进程，首先资源是什么，其实每个占用资源的东西，物，或者说一个虚拟资源，它的占用都是用进程，那资源占用他总得有个东西去用它，它就是进程。那进程是Linux当前正在处理的任务，当然windows也是这个样子，就比如说那 Windows你运行了QQ，那 QQ也是正在运行的处理任务，那当运行某个软件时为其为其创建一个进程，那看一下我们如何看到自己 Linux服务器里的所有进程。

看一下那这里的井号代表注释。也就是说我后边的东西，他的文字也好，还是命令也好，是不会参与Linux执行的。我把进程信息复制粘贴出来放到这了。那我们看一下这个这里都有什么进程，它每一个都是一个进程，比如咱们的SSH，现在使用的SSHD是服务的进程，我的这条命令是详细的打印出了系统的进程，这么详细的信息，我们是不是可以分别出来，比如我现在执行了一个SSH，那可以看到我的命令是在root这个进程下边被执行的，我们继续往下看，这些是用于辅助下边咱们查找后门木马用的。

那看一下查找进程文件的位置。刚才咱们看到了某一个进程，现在发现一个木马找他的进程，那是不是咱们要删除它，就看到他了，那就要删除他，并且把它处理掉或者去做一些分析。这个时候找一下现在正在运行的，我们查看一下所有进程，那用root方式，这样的话看到的进程全面，看到了这些进程，我们再往下看怎么查找进程的位置。

比如这块有一个docker，它是在它的pid也就是说它的进程编号是948。我通过 lsf这条命令用-p指定一个PID，也就948。看一下，那一般来说第三行就是它的这个文件的路径，看他的文件路径在这，也就是说这个 docker的服务在这儿，如果把这个 docker删掉，那么它就不会再运行了，这就是清除木马的过程。那再看一下下一个命令，通过这个命令还也可以找到文件看一下。这块这个是你的进程编号要写成你的，不要写我这个948，因为你的948进程可能不是 docker，看这里也是指向同样的路径，具体思路已经有了大家就可以举一反三的去寻找一些可疑的进程即可。