[root@home ~]# ps au | grep httpd
1014 9701 0.0 0.2 281620 3124 pts/24 Sl+ 18:41 0:00 ./bin/httpd -X
root 9742 0.0 0.0 3084 720 pts/22 R+ 18:45 0:00 grep httpd
Кстати, что делать Sl+ и R+ значит? 1014 - хакер? Почему это в моей системе? какие у него привилегии? Может ли это разрушить мою систему или причинить какой-либо вред?
@ Питер Уэстлейк, кот / etc / passwd | grep 1014 hugemeow: x: 1014: 1014 :: / home / hugemeow: / bin / bash проблема в том, почему ps au не показывает имя? а показать его номер?
Sl+ и R+ состояние процессов, а это означает следующее
R - работает или запускается (в очереди выполнения)
S - прерывистый сон (ожидание завершения события)
l - многопоточный (с использованием CLONE_THREAD, как NPTL pthreads)
+ - находится в группе процессов на переднем плане.
Если вы не запускали этот процесс самостоятельно, похоже, что кто-то его запустил, и он где-то выполняется на переднем плане.
1014 - это идентификатор пользователя в системе.
Если вам неизвестен этот uid, вам обязательно стоит начать проверять возможности взлома вашей системы. Смотреть в chkrootkit и rkhunter чтобы проверить наличие подозрительных файлов в вашей системе.
У каждого пользователя есть числовой идентификатор, а также имя. Вероятно, это учетная запись, созданная при установке httpd-сервера. Вы пробовали грести?
grep 1014 /etc/passwd
Либо у вас есть пользователь с именем «1014», либо запись в / etc / passwd для пользователя с uid 1014 была удалена. Обязательно проверьте / etc / passwd - но я подозреваю, что последний сценарий более вероятен.
Любой серверный процесс, прослушивающий зарезервированный порт, должен быть запущен пользователем root - затем он переключается на другого пользователя. Если вы запустите 'ps -ef', вы сможете получить родительский процесс для того, что вас беспокоит. Если он запускался под рутом, то можно больше забеспокоиться. Из /proc/<pid>/ файлы, вы сможете увидеть все, что угодно - например, где именно находится './bin/httpd'.
Параметр -X для apache (если это Apache) запускает одного рабочего, и процесс не демонизируется (остается связанным с pty, с которого он был запущен). Если /proc/<pid>/exe не указывает на файл, поставляемый с вашим isntallation, тогда вы сможете узнать о нем больше, запустив «строки» для исполняемого файла.
Если это злонамеренно, и кто-то скрывает свои следы, удаляя запись passwd, возможно, они удалили файл / каталог, содержащий веб-сервер (но фактическое содержимое файла / каталога остается на диске, скрытым, пока они все еще остаются в использовании (см. /proc/<pid>/fd)
Вы также должны увидеть, какой порт он прослушивает, из netstat -na (поэтому вы можете попробовать указать на него браузер).
Если у вас есть основания подозревать, что он вредоносный, см. Как мне поступить с взломанным сервером?
Возможно, стоит поискать в файловой системе, чтобы увидеть, какие файлы принадлежат этому пользователю.
find / -user 1014 -type f | xargs ls -l