Por que existe um processo raiz cujo pid está mudando o tempo todo?

2

O pid está aumentando o tempo todo ... Estou escrevendo um programa para exibir todas as informações do processo, esse processo realmente me incomoda.
As palavras chinesas são sleeping... , can't use , can't use

    
por wong2 17.03.2011 / 05:11

2 respostas

3

Tecnicamente, não é um único processo cujo pid está mudando, mas o antigo processo está sendo finalizado e um novo está sendo iniciado.

Por que não tentar encontrar seu ID de processo pai, por exemplo, usando ps -o pid,ppid,cmd -U root (será na segunda coluna). É possível que exista um processo pai que esteja iniciando todos os outros processos.

Parece estranho que não haja nome para esse processo na primeira coluna. Pode haver mais pistas no diretório / proc, por exemplo, ls -l /proc/<pid>/exe e cat /proc/<pid>/cmdline . Experimente também as diferentes opções de comandos ps , por ex. ps -o pid,comm e ps -o pid,args imprimirão informações diferentes. (Adicione -U root ou -p <pid> a esses comandos.)

UPDATE

Se o processo não tiver nome, talvez pgrep '^$' o liste, e você poderá fazer o que quiser com ele, por exemplo

pgrep '^$' | while read pid; do
    ps -f $pid
    ls -l /proc/$pid/cmdline
    netstat -tlp | grep '\<'$pid'\>'
    echo kill $pid  # remove the echo after testing
done

Se pgrep '^$' não listar nada, talvez um ps -o comm= -U root | od -c normal para entender qual é o nome do processo, portanto, você pode usar pgrep para localizar apenas os processos com esse nome.

Se isso também falhar, procure em auditctl .

Ou você escreve um script que executa ps duas vezes e mata qualquer processo que apareça apenas na saída da segunda execução.

Além disso, se for um rootkit como outros sugeriram, seria uma boa ideia desconectar esse computador da Internet enquanto você investiga. Dessa forma, não é possível enviar seus dados pessoais para outras pessoas ou enviar spams ou qualquer outra coisa desse tipo.

    
por 17.03.2011 / 05:27
2

Meu palpite é que esse processo é parte de um rootkit de algum tipo. Ele propositalmente faz fork e o antigo morre com muita freqüência para ser difícil de definir e enviar um sinal como SIGSTOP ou SIGKILL para. O fato de que está faltando um nome também aponta para este ser o caso.

    
por 17.03.2011 / 05:41

Tags