Назад | Перейти на главную страницу

Странный процесс запущен

Я только что упомянул, что один пользователь запускает процесс, который называется «httpd».

31712 ftp_johndoe  20   0 35988  8828  1460 S 14.0  0.0  1h50:31 httpd
28616 ftp_johndoe  20   0 5304M 43936 35080 S  4.0  0.2  0:02.72 /usr/bin/php5-cgi -c /var/www/vhosts/system/johndoe.net/etc/php.ini
31711 ftp_johndoe  20   0 35808  8608  1460 S  1.0  0.0  1h51:15 httpd

Что ж, мне интересно, почему процесс называется «httpd», потому что в debian apache не запускаются процессы с именем «httpd».

Если я это сделаю, я получаю следующие результаты:

httpd     28868            ftp_johndoe  txt       REG              253,0     10456   12335127 /usr/bin/perl
httpd     28868            ftp_johndoe  mem       REG              253,0     22952   12335108 /usr/lib/perl/5.14.2/auto/File/Glob/Glob.so
httpd     28868            ftp_johndoe  mem       REG              253,0    109888   12335102 /usr/lib/perl/5.14.2/auto/POSIX/POSIX.so
httpd     28868            ftp_johndoe  mem       REG              253,0     18672   12335109 /usr/lib/perl/5.14.2/auto/Fcntl/Fcntl.so
httpd     28868            ftp_johndoe  mem       REG              253,0     39256   12980353 /usr/lib/perl5/auto/Socket/Socket.so
httpd     31712            ftp_johndoe   63u     IPv4          520937935       0t0        TCP server.name.com:38504->64.233.165.26:smtp (ESTABLISHED)
httpd     31712            ftp_johndoe   67u     IPv4          520937969       0t0        TCP server.name.com:38536->64.233.165.26:smtp (ESTABLISHED)
httpd     31712            ftp_johndoe   73u     IPv4          520937951       0t0        TCP server.name.com:38520->64.233.165.26:smtp (ESTABLISHED)

Думаю, это вредоносная программа. Но как мне найти сценарий, запускающий процесс httpd?

Вы можете начать поиск исполняемого файла, используя

ls -l /proc/<PID>/exe

Затем вы можете узнать, кто его создал (родительский PID) с помощью

ps -p <PID> -o ppid=

И ищите, пока не найдете отправную точку.

Вы также можете проверить общие точки автоматического выполнения, такие как сценарии инициализации, глобальные и пользовательские задания cron, at скрипты, rc.local файлы

ОБНОВИТЬ: Я только что напомнил о программе под названием любопытный который

Snoopy - это крошечная библиотека, которая регистрирует все выполненные команды (+ аргументы) в вашей системе.

Было бы очень полезно использовать его для проверки выполнения команды

Это не полное решение, я знаю, что есть простые способы обойти это. Надеюсь, кто-то с большим опытом, чем я, мы будем более полезны