Linux 服务器内存占用高达 90%，被一个不知道哪儿来的进程占用了，如何排查

lsof

先 kill 掉再排查吧，这个命名法感觉不是善茬

敲一下试试

有 pid，就可以找到文件地址。

sudo ls -l /proc/<pid>/cwd

这里的 cwd 是一个软连接，通过 ls -l 可以显示出它指向的文件夹地址。

ps -ef

假设 pid 是 12207，进入到 /proc/12207，ls -l
cwd 查看该进程的所在目录，注意后面不要有斜杠，因为这个文件是一个软链接，加斜杠的话就会列出目标目录的文件出来
exe 查看该进程的可执行文件
uid_map 查看该进程的用户和用户组
fd 查看该进程打开的文件描述符
cmdline 查看该进程的调用的命令
environ 是环境变量
net/netstat 该进程的流量统计

@itskingname
sudo ls -l /proc/<pid>/cwd
-------------------
返回
lrwxrwxrwx 1 root root 0 6 月 22 18:20 /proc/12207/cwd -> /
😂

/proc 的文档 https://man7.org/linux/man-pages/man5/proc.5.html

@madizmChou
cat /proc/12207/exe 查看可执行文件的路径
cat /proc/12207/cmdline 查看该进程的调用的命令

楼主，你确定自己能分清 CPU 和 内存？

10 楼神回复

内存映像 dump 出来看看？
先 cat /proc/pid/maps，然后找到这玩意对应的内存区域，然后
dd if=/proc/pid/mems of=xxx skip=offset count=size

@Vhc 9 楼之前那些人是不是也没分清楚

90 占用，默认就是 cpu 了，结果发现你标题写的是内存，不过不影响大家答题

800%的 CPU 占用，不是挖矿还能是啥？ root 账号挖矿，不马上重装系统？

@madizmChou 说明这个程序就被放在根目录下面。

挖矿程序，看看怎么侵入的。先排查下弱口令、redis 。

@baiduyixia 看清楚了，是 CPU 的问题，不过题主想知道的是文件在哪里，不影响答题

@itskingname 并不能说明放在根目录

@julyclyde 到根目录检查了，并没有。有可能是程序跑起来后自动删除了？