Я заметил, что один пользователь системы постоянно загружает один файл JPEG (каждые несколько секунд) через FTP-сервер. Исходный IP-адрес фактически назначается самому серверу. Я пробовал использовать такие инструменты, как lsof, ps, top. Я также безуспешно проверял задания cron. Не могли бы вы посоветовать, как я могу отследить источник этого процесса, скрипт? Обратите внимание, что на этом сервере работает cPanel.
Я мог бы использовать strace, но процесс не выполняется достаточно долго, чтобы его поймать.
# tail /var/log/xferlog
Wed Jan 23 14:21:26 2013 0 xxx.xxx.xxx.xxx 14558 /path_to_dir/file.jpg b _ o r user ftp 1 * c
Wed Jan 23 14:21:26 2013 0 xxx.xxx.xxx.xxx 14558 /path_to_dir/file.jpg b _ o r user ftp 1 * c
Wed Jan 23 14:21:27 2013 0 xxx.xxx.xxx.xxx 14558 /path_to_dir/file.jpg b _ o r user ftp 1 * c
Вы можете временно заменить этот файл на файл гораздо большего размера или на FIFO (см. mkfifo command), а затем снова найдите этот процесс.
Ты можешь использовать -f вариант strace для отслеживания дочерних процессов. Получить идентификатор подозрительного процесса, затем выполнить strace -f -p pid -o /tmp/strace.log. Вы должны искать ключевое слово «подключиться» или «RETR».