请问在 Ubuntu 下， sh 程序占用 CPU 过高是什么原因导致的？

@af463419014 唔。。那这样的话怎样才能把它从这台服务器中扔出去呢？

这程序的 command line 是`ntpd`，但 command name 是`sh`，感觉不是善类

@Bearsuny 也不一定是被攻击啦,再仔细排查下吧
pxu 是你自己创建的用户吗,自己的用户应该没问题,如果是别人创建的就有问题了

@Bearsuny ntpd 的默认用户应该是 root 啊，看看这两个进程 id 是不是父进程，运行的文件在哪里

@af463419014 是我自己创建的用户的～谢谢你啦～我再找找哪个地方有问题。。不过现在这个服务器的 SSH 端口确实是 22。。。那如果我要改的话，是不是我改完了然后再把这个进程杀掉。这样他就不会很快的找到我了～

@LykanSec 您看我这样操作去找父进程和运行文件对不对。。http://123.206.31.250/problem5.png 。是不是它伪装起来了。。。T T

@LykanSec 图在这个地方 http://123.206.31.250/problem5.png

这 2 个进程每个开了 15 个线程很整齐的在干活。。。

@jasonyang9 恩恩。。我想找它的父进程和运行文件也找不到。。图是在上面的回复中 problem5.png 里面。

strace -p 59216 看看

@jasonyang9 而且那个 59216 进程它运行的时间是 126135:18 这么多。。那个 4574 的进程运行时间就只有 29:04 这些。。。

@liuxu 我输入了以后它打印的信息是这样的

strace: attach: ptrace(PTRACE_ATTACH, ...): Operation not permitted
Could not attach to process. If your uid matches the uid of the target
process, check the setting of /proc/sys/kernel/yama/ptrace_scope, or try
again as the root user. For more details, see /etc/sysctl.d/10-ptrace.conf

@jasonyang9 我用 who 命令查看了一下当前的用户有哪些。。然后发现 pxu 竟然有两个。。。

pxu :0 2018-05-21 09:13 (:0)
pxu pts/0 2018-05-21 09:32 (:0)
ffeng pts/43 2018-07-17 16:07 (116.76.254.5)

@Bearsuny #33

应该没问题

:0 是在本地登录的
pts/n 是从 SSH 登录的

都用了 pxu 帐号

@jasonyang9 哦哦～～谢谢你～～稍稍放心了一下。。。我还以为这个坏东西在服务器上自己建立了一个账户。。

@Bearsuny #32 提示用 root 身份跑：

```
sudo strace -p 59216
```

@Bearsuny 用 root 权限跑

不然明天我再向你们请教吧～我现在还不是 root 用户。。T T 掌管 root 用户的人回家了。。估计是不会把 sudo 用户的权限给我的。。我明天问问他看看执行结果如何～今天真是谢谢大家了 @jasonyang9 @liuxu @LykanSec ...大家是不是也到了吃饭的时间了 WW ～快去吃饭吧～

这种一般不是要禁用 root 远程登录，并且修改默认的 22ssh 端口么？ 后面服务器初始化配置的时候就统一安全加固一下

@luozic 好的好的～明天我尝试修改 ssh 端口～谢谢您 WW