Nowe posty

Autor Wątek: Nazwa procesu po jego PID?  (Przeczytany 4285 razy)

Offline

  • Users
  • Nowy na forum
  • *
  • Wiadomości: 1
    • Zobacz profil
Nazwa procesu po jego PID?
« dnia: 2007-08-02, 22:18:22 »
Witam,

mam taki problem. Ktoś zapewne włamał się na mój serwer. Wklepując top widzę, że leci sobie proces perla, który zżera 100% porcka oraz (jak dowiedziałem się z serwerowni) ddosuje wszystko na około. Zabicie nic nie pomaga, gdyż uruchamia się na nowo. Pytanie: co mogę zrobić? Chciałbym namierzyć ten skrypt, jednak nie mam zbytnio pomysłu na to. Można by (właśnie, jak?) znaleźć nazwę procesu po jego PID... Nic innego nie przychodzi mi do głowy.... Serwer stoi na debianie, wpisy crona są niby czyste, jednak proces ciągle się reaktywuje. Proszę o pomoc.

Offline Paweł Smoliński

  • Administrator
  • Guru
  • *****
  • Wiadomości: 593
    • Zobacz profil
Nazwa procesu po jego PID?
« Odpowiedź #1 dnia: 2007-08-02, 23:12:45 »
Witam,
polecam zajrzeć do katalogu /proc/_tu_twój_pid_/; m.in. w pliku cmdline masz polecenie, jakim program został uruchomiony. Poza tym polecenie ps ma fajną opcję --forest (dwa myślniki), które maluje drzewo procesów - tu dowiesz się, co uruchamia ten skrypt.
Gutta cavat lapidem non vi, sed saepe cadendo / sic homo doctus fit non vi sed saepe studendo

Offline de Laurent

  • Global Moderator
  • Guru
  • *****
  • Wiadomości: 1197
    • Zobacz profil
Nazwa procesu po jego PID?
« Odpowiedź #2 dnia: 2007-08-03, 20:53:53 »
2007-08-02 23:12:45 ZipoKing napisał:

> Witam,
 > polecam zajrzeć do katalogu /proc/_tu_twój_pid_/; m.in. w pliku cmdline masz polecenie, jakim
 > program został uruchomiony. Poza tym polecenie ps ma fajną opcję --forest (dwa myślniki), które
 > maluje drzewo procesów - tu dowiesz się, co uruchamia ten skrypt.


Przeciez w top po prawej stronie masz nazwe procesu...
Obok opcji forest jest jeszcze komenda pstree :)

A jak masz nazwe, to nic prostszego niz zrobic find / -name nazwa_skryptu_winowajcy

pzdr

PS: sprawdz tez katalog /etc/cron.d oraz katalogi /etc/cron.daily monthly itd...

Offline

  • Users
  • Stały bywalec
  • ***
  • Wiadomości: 159
    • Zobacz profil
Nazwa procesu po jego PID?
« Odpowiedź #3 dnia: 2007-08-04, 13:56:10 »
2007-08-03 20:53:53 de_laurent napisał:

> 2007-08-02 23:12:45 ZipoKing napisał:
 >
 > > Witam,
 >  > polecam zajrzeć do katalogu /proc/_tu_twój_pid_/; m.in. w pliku cmdline masz polecenie,
 > jakim
 >  > program został uruchomiony. Poza tym polecenie ps ma fajną opcję --forest (dwa myślniki),
 > które
 >  > maluje drzewo procesów - tu dowiesz się, co uruchamia ten skrypt.
 >
 >
 > Przeciez w top po prawej stronie masz nazwe procesu...
 > Obok opcji forest jest jeszcze komenda pstree :)
 >
 > A jak masz nazwe, to nic prostszego niz zrobic find / -name nazwa_skryptu_winowajcy
 >
 > pzdr
 >
 > PS: sprawdz tez katalog /etc/cron.d oraz katalogi /etc/cron.daily monthly itd...

może jeszcze rzucić okiem w /etc/inittab , czy nie ma tam linii uruchamiającej ten skrypt, np ":12345:respawn:" . Chodzi  o ten parametr "respawn", powoduje on że proces init  (PID: 1) będzie sprawdzał czy program działa, jeśli nie działa to będzie go uruchamiał.
Jak masz tam jakiś nieodpowiedni wpis to usuń tą linię i przeładuj proces init komendą :
killall -HUP init
spowoduje to ponowne wczytanie konfiguracji z inittab bez zamykania systemu.

Offline

  • Users
  • Guru
  • *****
  • Wiadomości: 825
    • Zobacz profil
Nazwa procesu po jego PID?
« Odpowiedź #4 dnia: 2007-09-27, 20:42:05 »
Ścieżki procesów podaje:
ps -aux
A co do drzewka procesów to pstree. Jeśli zobaczysz że jego "rodzicem" jest init czyli PID=1 to znaczy, że faktycznie może chodzić o respawn.

Mariusz