Autor Wątek: Nazwa procesu po jego PID? (Przeczytany 4466 razy)

makeme · « **dnia:** 2007-08-02, 22:18:22 »

Witam,

mam taki problem. Ktoś zapewne włamał się na mój serwer. Wklepując top widzę, że leci sobie proces perla, który zżera 100% porcka oraz (jak dowiedziałem się z serwerowni) ddosuje wszystko na około. Zabicie nic nie pomaga, gdyż uruchamia się na nowo. Pytanie: co mogę zrobić? Chciałbym namierzyć ten skrypt, jednak nie mam zbytnio pomysłu na to. Można by (właśnie, jak?) znaleźć nazwę procesu po jego PID... Nic innego nie przychodzi mi do głowy.... Serwer stoi na debianie, wpisy crona są niby czyste, jednak proces ciągle się reaktywuje. Proszę o pomoc.

ZipoKing · « **Odpowiedź #1 dnia:** 2007-08-02, 23:12:45 »

Witam,
polecam zajrzeć do katalogu /proc/_tu_twój_pid_/; m.in. w pliku cmdline masz polecenie, jakim program został uruchomiony. Poza tym polecenie ps ma fajną opcję --forest (dwa myślniki), które maluje drzewo procesów - tu dowiesz się, co uruchamia ten skrypt.

de_laurent · « **Odpowiedź #2 dnia:** 2007-08-03, 20:53:53 »

2007-08-02 23:12:45 ZipoKing napisał:

> Witam,
> polecam zajrzeć do katalogu /proc/_tu_twój_pid_/; m.in. w pliku cmdline masz polecenie, jakim
> program został uruchomiony. Poza tym polecenie ps ma fajną opcję --forest (dwa myślniki), które
> maluje drzewo procesów - tu dowiesz się, co uruchamia ten skrypt.

Przeciez w top po prawej stronie masz nazwe procesu...
Obok opcji forest jest jeszcze komenda pstree

A jak masz nazwe, to nic prostszego niz zrobic find / -name nazwa_skryptu_winowajcy

pzdr

PS: sprawdz tez katalog /etc/cron.d oraz katalogi /etc/cron.daily monthly itd...

lamaglama · « **Odpowiedź #3 dnia:** 2007-08-04, 13:56:10 »

2007-08-03 20:53:53 de_laurent napisał:

> 2007-08-02 23:12:45 ZipoKing napisał:
>
> > Witam,
> > polecam zajrzeć do katalogu /proc/_tu_twój_pid_/; m.in. w pliku cmdline masz polecenie,
> jakim
> > program został uruchomiony. Poza tym polecenie ps ma fajną opcję --forest (dwa myślniki),
> które
> > maluje drzewo procesów - tu dowiesz się, co uruchamia ten skrypt.
>
>
> Przeciez w top po prawej stronie masz nazwe procesu...
> Obok opcji forest jest jeszcze komenda pstree

>
> A jak masz nazwe, to nic prostszego niz zrobic find / -name nazwa_skryptu_winowajcy
>
> pzdr
>
> PS: sprawdz tez katalog /etc/cron.d oraz katalogi /etc/cron.daily monthly itd...

może jeszcze rzucić okiem w /etc/inittab , czy nie ma tam linii uruchamiającej ten skrypt, np ":12345:respawn:" . Chodzi o ten parametr "respawn", powoduje on że proces init (PID: 1) będzie sprawdzał czy program działa, jeśli nie działa to będzie go uruchamiał.
Jak masz tam jakiś nieodpowiedni wpis to usuń tą linię i przeładuj proces init komendą :
killall -HUP init
spowoduje to ponowne wczytanie konfiguracji z inittab bez zamykania systemu.

« **Odpowiedź #4 dnia:** 2007-09-27, 20:42:05 »

Ścieżki procesów podaje:
ps -aux
A co do drzewka procesów to pstree. Jeśli zobaczysz że jego "rodzicem" jest init czyli PID=1 to znaczy, że faktycznie może chodzić o respawn.

Mariusz

Aktualności:

Linux.pl »

Nowe posty

Autor Wątek: Nazwa procesu po jego PID? (Przeczytany 4466 razy)

makeme

Nazwa procesu po jego PID?

ZipoKing

Nazwa procesu po jego PID?

de_laurent

Nazwa procesu po jego PID?

lamaglama

Nazwa procesu po jego PID?

Nazwa procesu po jego PID?