原理
ps 、netstat 是遍历/proc 来显示pid的原理,通过隐藏相关 /proc/pid 文件夹来实现pid隐藏
实现
运行如下命令,将pid对应文件夹挂载到隐藏目录上面
mount -o bind /home/.hidden /proc/9212
现象:
如下图,使用root权限调用 netstat 发现 PID和Programname 都是空:
排查方法
1、cat /proc/$$/mountinfo
cat /proc/$$/mountinfo,发现/proc/9212被挂载到了一个.开头的隐藏文件里面
2、 ls -lai /proc
在/proc下使用ls -lai:可以发现一个异常的pid目录,异常大小
解除方法
使用umount 解除挂载
umount /proc/9212
