| forum.bitel.ru http://forum.bitel.ru/ |
|
| Скрытый процесс http://forum.bitel.ru/viewtopic.php?f=1&t=1425 |
Страница 1 из 1 |
| Автор: | WhiteWind [ 05 сен 2008, 10:28 ] |
| Заголовок сообщения: | Скрытый процесс |
Я совершенно случайно наткнулся на скрытый процесс с такой вот строкой запуска: /usr/lib/java/bin/java -Xmx256m -cp .:./lib/* bitel.billing.server.radius.Radius start В ps -A его не видно, в ls /proc тоже, можно обнаружить только если набрать cd /proc/3105. Кто-нибудь может прокомментировать это? |
|
| Автор: | Администратор [ 05 сен 2008, 11:22 ] |
| Заголовок сообщения: | |
Ну могу только сказать, что это наш RADIUS сервер, только мы никак не скрывали его.. Код: ps axwww | grep Radius
обычно показывал. |
|
| Автор: | WhiteWind [ 05 сен 2008, 11:27 ] |
| Заголовок сообщения: | |
Код: # ps axwww | grep Radius 3058 ? Sl 0:03 /usr/lib/java/bin/java -Xmx256m -cp .:./lib/* bitel.billing.server.radius.Radius start Но тем не менее, Код: # cd /proc/3105
# cat cmdline |xargs -0 /usr/lib/java/bin/java -Xmx256m -cp .:./lib/* bitel.billing.server.radius.Radius start Получается, что процесса 2, один скрытый, другой нет... |
|
| Автор: | dimOn [ 05 сен 2008, 12:57 ] |
| Заголовок сообщения: | |
Выдаваемое по ps и находящееся в /proc - идентично. Не может быть в одном одно, а в другом - другое. Собственно, ps свой список из /proc и берет. Мы strace'ом это глядели как-то для интереса. У Вас примеры от разных запусков. Полгядите одновременно и убедитесь, что это один процесс. |
|
| Автор: | dimOn [ 05 сен 2008, 12:59 ] |
| Заголовок сообщения: | |
Сравните вывод того же Код: ps axwww | grep java с (например)Код: find /proc -maxdepth 2 -name cmdline -exec grep java {} \;
|
|
| Автор: | WhiteWind [ 05 сен 2008, 13:00 ] |
| Заголовок сообщения: | |
Это было сделано одновременно. Дело в том, что директория 3105 не видна в каталоге /proc, но в неё можно попасть с помощью команды Код: cd 3105
|
|
| Автор: | dimOn [ 05 сен 2008, 13:04 ] |
| Заголовок сообщения: | |
странно.... а Код: find /proc -maxdepth 1 -type d | grep 3105 её видит?
|
|
| Автор: | WhiteWind [ 05 сен 2008, 13:10 ] |
| Заголовок сообщения: | |
Нет. Как и Код: ls /proc|grep 3105
|
|
| Автор: | dimOn [ 05 сен 2008, 13:14 ] |
| Заголовок сообщения: | |
Ок, а что выводит такие команды: Код: file `which ps` Код: file `which ls`
|
|
| Автор: | WhiteWind [ 05 сен 2008, 13:15 ] |
| Заголовок сообщения: | |
Код: # file `which ls`
/bin/ls: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), stripped # file `which ps` /bin/ps: ELF 32-bit LSB executable, Intel 80386, version 1 (SYSV), dynamically linked (uses shared libs), stripped |
|
| Автор: | dimOn [ 05 сен 2008, 13:22 ] |
| Заголовок сообщения: | |
|
|
|
| Автор: | WhiteWind [ 05 сен 2008, 13:24 ] |
| Заголовок сообщения: | |
dimOn писал(а): :?
А можно поподробнее?) |
|
| Автор: | WhiteWind [ 05 сен 2008, 22:42 ] |
| Заголовок сообщения: | |
Чёрт... Дело не в биллинге. Сейчас на другом компе, на котором нет биллинга тоже обнаружил скрытые процессы. На этот раз mysqld. Причём их много и все с близкими по значению PID'ами. Наверное, зараза какая-нибудь. |
|
| Автор: | dimOn [ 08 сен 2008, 12:15 ] |
| Заголовок сообщения: | |
Я тоже решил, что зараза - часто подменяют при этом ps/ls итд (на скрипты/алиасы), потому и поросил проверить file `which ps` file `which ls` с этой стороны вроде всё в порядке оказалось. Но странно, в чём смысл подобной заразы и интересно, как она устраивается. Разбирайтесь 
Биллинг никаких скрытых процесов не производит, тем более запуском и настройкой виртуальных машин занимается администратор компа. А биллинг выполняется внутри JRE уже, у него полномочий тайно управлять процессами хостовой машины. |
|
| Страница 1 из 1 | Часовой пояс: UTC + 5 часов [ Летнее время ] |
| Powered by phpBB® Forum Software © phpBB Group http://www.phpbb.com/ |
|