如何查找和杀掉Linux中的僵尸进程?

Linux 系统中，进程就是一个程序的运行实例。它可能运行在前端（比如有交互的进程），也可能运行在后端（比如无交互或自动运行的进程）。它可能是一个父进程（运行期间创建了其他进程），也可能是一个子进程（由其他进程所创建）。

在 Linux 系统中，除 PID 为 0 的第一个 init 进程（或 systemd ）外，其余进程都有父进程。进程也可以拥有自己的子进程。

你可以通过使用 pstree 命令 来查看进程的树型结构，你可以清晰的看到各个进程的“家族树”。

在 Linux 系统中，正常情况下，子进程死亡后其父进程会接收到通知进行一些例如释放内存之类的清理 *** 作。但是，如果父进程未收到通知察觉子进程死亡，那么子进程就进入了“僵死”状态。

这就是僵死进程产生的原因。

僵尸进程并不可怕，少量的僵尸进程对系统影响并不大。但如果系统的内存已经所剩不多或者有太多的僵尸进程在耗掉内存，问题会变得糟糕。

同样，大部分 Linux 系统进程最大 PID 设置为 32768，如果过多僵尸进程导致其他重要任务没有 PID 可用，那么你的系统会发生崩溃。

特别当存在一个编码糟糕的程序开始大量产生僵尸进程的时候，这种情况经常发生。在这种情况下，我们就需要找到并杀死僵尸进程。

在linux系统中，进程有如下几种状态，它们随时可能处于以上状态中的一种：

我们可以在命令终端中通过 top命令 来查看系统进程和它的当前状态。

命令如下：

如上面截图中看到的，其中共有 250 个任务（进程），其中 1 个处在 “运行中running” 状态，248 个进程处于 “休眠sleep” 状态，还有一个处于 “僵尸zombie” 状态。

现在问题进入下一步，如何杀死 “僵尸” 进程？

僵尸进程对系统来说就是已经死亡的进程，那么如何杀掉一个已经死亡的进程呢？

方法很简单，我们只需要通过如下ps命令就可以列举僵尸进程，得到它们的进程 ID。

ps ux 命令输出的第 8 列显示了进程状态。上述命令将会打印所有处在 Z+ 状态（表示僵尸状态）的进程。

确认了进程 ID 后，我们可以得到它的父进程 ID：

你也可以将上述两个命令结合在一起，直接得到僵尸进程的 PID 及其父进程的 PID：

通过以上命令都可以找到僵尸进程，然后你就可以通过 kill命 令杀掉了。

或者通过如下命令查看僵尸进程：

该命令输出结果上你可以直接看出其父进程ID，这时候你直接使用kill命令杀掉即可。

再次运行 ps 命令或 top 命令，你可以验证僵尸进程是否已经被杀死。

通过本文你将认识 Linux 系统中的僵尸进程以及明白了其产生的主要原因。同时，你也能学会如何查找僵尸僵尸进程并杀掉僵尸进程。

当然你也可以自己别写脚本设置成定时运行任务自动来替你做这些工作。

在了解僵尸进程之前，让我们来复习一下什么是 Linux 进程。

简而言之， 进程 [1] 是一个程序的运行实例。它可能运行在前端（比如有交互的进程），也可能运行在后端（比如无交互或自动运行的进程）。它可能是一个父进程（运行期间创建了其他进程），也可能是一个子进程（由其他进程所创建）。

在 Linux 系统中，除 PID 为 0 的第一个 init 进程（或 systemd ）外，其余进程都有父进程。进程也可以拥有自己的子进程。

不相信？可以试试在终端中使用 pstree 命令查看进程的树型结构，你能看到系统各个进程的“家族树”。

子进程死亡后，它的父进程会接收到通知去执行一些清理 *** 作，如释放内存之类。然而，若父进程并未察觉到子进程死亡，子进程就会进入到“<ruby style="box-sizing: border-box">僵尸<rt style="box-sizing: border-box">zombie</rt></ruby>”状态。从父进程角度看，子进程仍然存在，即使子进程实际上已经死亡。这就是“<ruby style="box-sizing: border-box">僵尸进程<rt style="box-sizing: border-box">zombie process</rt></ruby>”（也被称为“<ruby style="box-sizing: border-box">已消失进程<rt style="box-sizing: border-box">defunct process</rt></ruby>”）是如何产生并存在于系统中的。

这里有一个来自 Turnoff.us [2] 的关于僵尸进程的非常有趣的看法：

Image credit: Turnoff.us

重点要说的是，僵尸进程并没有像它的名称那样看起来可怕。

但如果系统的内存已经所剩不多或者有太多的僵尸进程在吃掉内存，问题会变得糟糕。同样，大部分 Linux 系统进程最大 PID 设置为 32768，如果过多僵尸进程导致其他重要任务没有 PID 可用，你的系统会发生崩溃。

这是真实可能发生的，它有一定的概率，特别当存在一个编码糟糕的程序开始大量产生僵尸进程的时候。

在这种情况下，找到并杀死僵尸进程是一个明智的做法。

Linux 系统中的进程可能处于如下状态中的一种：

那如何查看进程和它的当前状态呢？一个简单的方法是在终端中使用 top 命令 [3]。

Top command show processes and their status

正如你在上面截图中看到的，截图中共有 250 个任务（进程），其中 1 个处在 “<ruby style="box-sizing: border-box">运行中<rt style="box-sizing: border-box">running</rt></ruby>” 状态，248 个进程处于 “<ruby style="box-sizing: border-box">休眠<rt style="box-sizing: border-box">sleep</rt></ruby>” 状态，还有一个处于 “<ruby style="box-sizing: border-box">僵尸<rt style="box-sizing: border-box">zombie</rt></ruby>” 状态。

现在问题进入下一步，如何杀死 “僵尸” 进程？

僵尸进程已经死了，要如何才能杀死一个已经死亡的进程呢？

在僵尸电影中，你可以射击僵尸的头部或烧掉它们，但在这里是行不通的。你可以一把火烧了系统来杀死僵尸进程，但这并不是一个可行的方案。

一些人建议发送 SIGCHLD 给父进程，但这个信号很可能会被忽略。还有一个方法是杀死父进程来杀死僵尸进程，这听起来很野蛮，但它却是唯一能确保杀死僵尸进程的方法。

首先，通过在终端中 使用 ps 命令 [4] 我们列举僵尸进程，得到它们的进程 ID：

<pre class="prettyprint linenums" style="box-sizing: border-boxoverflow: hiddenfont: 400 12px / 20px "courier new"display: blockpadding: 10px 15pxmargin: 20px 0pxcolor: rgb(248, 248, 212)word-break: break-alloverflow-wrap: break-wordbackground: rgb(39, 40, 34)border: noneborder-radius: 4pxbox-shadow: rgb(57, 56, 46) 40px 0px 0px inset, rgb(70, 71, 65) 41px 0px 0px insetletter-spacing: normalorphans: 2text-align: starttext-indent: 0pxtext-transform: nonewidows: 2word-spacing: 0px-webkit-text-stroke-width: 0pxtext-decoration-thickness: initialtext-decoration-style: initialtext-decoration-color: initial">

</pre>

ps ux 命令输出的第 8 列显示了进程状态。上述命令只会打印所有处在 Z+ 状态（表示僵尸状态）的进程。

确认了进程 ID 后，我们可以得到它的父进程 ID：

<pre class="prettyprint linenums" style="box-sizing: border-boxoverflow: hiddenfont: 400 12px / 20px "courier new"display: blockpadding: 10px 15pxmargin: 20px 0pxcolor: rgb(248, 248, 212)word-break: break-alloverflow-wrap: break-wordbackground: rgb(39, 40, 34)border: noneborder-radius: 4pxbox-shadow: rgb(57, 56, 46) 40px 0px 0px inset, rgb(70, 71, 65) 41px 0px 0px insetletter-spacing: normalorphans: 2text-align: starttext-indent: 0pxtext-transform: nonewidows: 2word-spacing: 0px-webkit-text-stroke-width: 0pxtext-decoration-thickness: initialtext-decoration-style: initialtext-decoration-color: initial">

</pre>

你也可以将上述两个命令结合在一起，直接得到僵尸进程的 PID 及其父进程的 PID：

<pre class="prettyprint linenums" style="box-sizing: border-boxoverflow: hiddenfont: 400 12px / 20px "courier new"display: blockpadding: 10px 15pxmargin: 20px 0pxcolor: rgb(248, 248, 212)word-break: break-alloverflow-wrap: break-wordbackground: rgb(39, 40, 34)border: noneborder-radius: 4pxbox-shadow: rgb(57, 56, 46) 40px 0px 0px inset, rgb(70, 71, 65) 41px 0px 0px insetletter-spacing: normalorphans: 2text-align: starttext-indent: 0pxtext-transform: nonewidows: 2word-spacing: 0px-webkit-text-stroke-width: 0pxtext-decoration-thickness: initialtext-decoration-style: initialtext-decoration-color: initial">

</pre>

现在你得到了父进程 ID，使用命令行和得到的 ID 号 终于可以杀死进程了 [5]：

<pre class="prettyprint linenums" style="box-sizing: border-boxoverflow: hiddenfont: 400 12px / 20px "courier new"display: blockpadding: 10px 15pxmargin: 20px 0pxcolor: rgb(248, 248, 212)word-break: break-alloverflow-wrap: break-wordbackground: rgb(39, 40, 34)border: noneborder-radius: 4pxbox-shadow: rgb(57, 56, 46) 40px 0px 0px inset, rgb(70, 71, 65) 41px 0px 0px insetletter-spacing: normalorphans: 2text-align: starttext-indent: 0pxtext-transform: nonewidows: 2word-spacing: 0px-webkit-text-stroke-width: 0pxtext-decoration-thickness: initialtext-decoration-style: initialtext-decoration-color: initial">

</pre>

Killing parent process

再次运行 ps 命令或 top 命令，你可以验证僵尸进程是否已经被杀死。

恭喜！现在你知道怎么清理僵尸进程了。

via: https://itsfoss.com/kill-zombie-process-linux/

一、什么是defunct进程(僵尸进程)?

在 Linux 系统中,一个进程结束了,但是他的父进程没有等待(调用wait / waitpid)他,那么他将变成一个僵尸进程。当用ps命令观察进程的执行状态时,看到这些进程的状态栏为defunct。僵尸进程是一个早已死亡的进程,但在进程表(processs table)中仍占了一个位置(slot)。

但是如果该进程的父进程已经先结束了,那么该进程就不会变成僵尸进程。因为每个进程结束的时候,系统都会扫描当前系统中所运行的所有进程,看看有没有哪个进程是刚刚结束的这个进程的子进程,如果是的话,就由Init进程来接管他,成为他的父进程,从而保证每个进程都会有一个父进程。而Init进程会自动wait其子进程,因此被Init接管的所有进程都不会变成僵尸进程。

二、 Linux下进程的运作方式

如果子进程先于父进程退出， 同时父进程又没有调用wait/waitpid，则该子进程将成为僵尸进程。如果该进程的父进程已经先结束了，那么该进程就不会变成僵尸进程。因为每个进程结束的时候，系统都会扫描当前系统中所运行的所有进程，看看有没有哪个 进程是刚刚结束的这个进程的子进程，如果是的话，就由Init进程来接管他，成为他的父进程，从而保证每个进程都会有一个父进程。而Init进程会自动 wait其子进程，因此被Init接管的所有进程都不会变成僵尸进程。

每个 Linux进程在进程表里都有一个进入点(entry),核心进程执行该进程时使用到的一切信息都存储在进入点。当用 ps 命令察看系统中的进程信息时,看到的就是进程表中的相关数据。当以fork()系统调用建立一个新的进程后,核心进程就会在进程表中给这个新进程分配一个进入点,然后将相关信息存储在该进入点所对应的进程表内。这些信息中有一项是其父进程的识别码。

子进程的结束和父进程的运行是一个异步过程,即父进程永远无法预测子进程到底什么时候结束。那么会不会因为父进程太忙来不及 wait 子进程,或者说不知道子进程什么时候结束,而丢失子进程结束时的状态信息呢?

不会。因为 Linux提供了一种机制可以保证,只要父进程想知道子进程结束时的状态信息,就可以得到。这种机制就是:当子进程走完了自己的生命周期后,它会执行exit()系统调用,内核释放该进程所有的资源,包括打开的文件,占用的内存等。但是仍然为其保留一定的信息(包括进程号the process ID,退出码exit code,退出状态the terminationstatus of the process,运行时间the amount of CPU time taken by the process等),这些数据会一直保留到系统将它传递给它的父进程为止,直到父进程通过wait / waitpid来取时才释放。

也就是说,当一个进程死亡时,它并不是完全的消失了。进程终止,它不再运行,但是还有一些残留的数据等待父进程收回。当父进程 fork() 一个子进程后,它必须用 wait() (或者 waitpid())等待子进程退出。正是这个 wait() 动作来让子进程的残留数据消失。

三、僵尸进程的危害

如果父进程不调用wait / waitpid的话,那么保留的那段信息就不会释放,其进程号就会一直被占用,但是系统的进程表容量是有限的,所能使用的进程号也是有限的,如果大量的产生僵尸进程,将因为没有可用的进程号而导致系统不能产生新的进程。

所以,defunct进程不仅占用系统的内存资源,影响系统的性能,而且如果其数目太多,还会导致系统瘫痪。而且,由于调度程序无法选中Defunct 进程,所以不能用kill命令删除Defunct 进程,惟一的方法只有重启系统。

四、如何杀死defunct进程

defunct进程是指出错损坏的进程,父子进程之间不会再通信。有时,它们会演变成“僵尸进程”,存留在你的系统中,直到系统重启。可以尝试 “kill -9” 命令来清除,但多数时候不管用。

为了杀死这些defunct进程,你有两个选择:

1.重启你的计算机

2.继续往下读…

我们先看看系统中是否存在defunct进程:

$ ps -A|grep defunct

1

输出

5259 ?00:00:00 sd_cicero <defunct>

12214 pts/18 00:01:14 python <defunct>

16989 pts/18 00:04:43 python <defunct>

20610 pts/18 00:23:12 python <defunct>

看看这些进程的ID及其父进程ID:

$ ps -ef | grep defunct | more

UID PID PPID ...

==========================================================================

yourname 4653 6128 0 17:07 pts/18 00:00:00 grep --color=auto defunct

yourname 5259 5258 0 15:58 ?00:00:00 [sd_cicero] <defunct>

yourname12214 12211 4 16:41 pts/18 00:01:14 [python] <defunct>

yourname16989 16986 20 16:45 pts/18 00:04:43 [python] <defunct>

yourname20610 18940 99 16:48 pts/18 00:23:12 [python] <defunct>

UID:用户ID

PID:进程ID

PPID:父进程ID

如果你使用命令 “kill -9 12214” 尝试杀死ID为12214的进程,可能会没效果。

我们来试一下

ps -A|grep defunct

输出

5259 ?00:00:00 sd_cicero <defunct>

12214 pts/18 00:01:14 python <defunct>

16989 pts/18 00:04:43 python <defunct>

20610 pts/18 00:23:12 python <defunct>

进程12214 仍然存才，说明用kill杀不掉它。

要想成功杀死该进程,需要对其父进程(ID为12211)执行kill命令( ps -A | grep defunct)。

我们来试一下

ps -A|grep defunct

输出

5259 ?00:00:00 sd_cicero <defunct>

16989 pts/18 00:04:43 python <defunct>

20610 pts/18 00:23:12 python <defunct>

[1] Killed bash main.sh

进程12214消失，说明可以通过kill僵尸进程的父进程来杀死僵尸进程。

如果前一个命令显示无结果,那么搞定!否则,可能你需要重启一下系统。

参考链接： https://www.cnblogs.com/lfxiao/p/10837115.html

---