Todo usuário tem um ID numérico e um nome. Esta é provavelmente uma conta criada quando o servidor httpd foi instalado. Você já tentou usar o grepping?
grep 1014 /etc/passwd
[root@home ~]# ps au | grep httpd
1014 9701 0.0 0.2 281620 3124 pts/24 Sl+ 18:41 0:00 ./bin/httpd -X
root 9742 0.0 0.0 3084 720 pts/22 R+ 18:45 0:00 grep httpd
A propósito, o que significam Sl+ e R+ ?
1014 é um hacker? Por que isso está no meu sistema? que privilégio tem? Pode destruir meu sistema ou causar algum dano?
@ Peter Westlake cat / etc / passwd | grep 1014 hugemeow: x: 1014: 1014 :: / home / hugemeow: / bin / bash a questão é por que ps au não mostra o nome? mas mostra o seu número?
Todo usuário tem um ID numérico e um nome. Esta é provavelmente uma conta criada quando o servidor httpd foi instalado. Você já tentou usar o grepping?
grep 1014 /etc/passwd
Sl+ e R+ é o estado dos processos e significa o seguinte
R - em execução ou executável (na fila de execução)
S - suspensão interrompível (aguardando a conclusão de um evento)
l - é multiencadeado (usando CLONE_THREAD, como NPTL pthreads do) + - está no grupo de processos em primeiro plano.
Se você não iniciou esse processo sozinho, parece que alguém o iniciou e está sendo executado em primeiro plano em algum lugar.
1014 é um uid no sistema.
Se este é um uid desconhecido para você, você deve definitivamente começar a verificar as possibilidades que seu sistema é hackeado. Procure em chkrootkit e rkhunter para verificar se há arquivos suspeitos em seu sistema.
Você tem um usuário chamado '1014' ou a entrada em / etc / passwd para o usuário com o uid 1014 ter sido excluído. De qualquer forma, verifique em / etc / passwd - mas suspeito que o segundo cenário seja mais provável.
Qualquer processo do servidor que atenda em uma porta reservada deve ser iniciado pelo root - e então downgrades para um usuário diferente. Se você executar 'ps -ef', poderá obter o processo pai para as coisas que você está preocupado. Se foi iniciado pelo root, então você pode começar a ficar mais preocupado. Dos arquivos /proc/<pid>/ você poderá ver todo tipo de coisa - como exatamente onde './bin/httpd' é.
A opção -X para o apache (se for o Apache) executa um único trabalhador e o processo não é desmembrado (permanece associado ao pty de onde foi iniciado). Se /proc/<pid>/exe não apontar para um arquivo fornecido com sua isntallation, você poderá descobrir mais sobre ele executando 'strings' no executável.
Se for mal-intencionado, e alguém estiver cobrindo suas trilhas excluindo uma entrada passwd, elas podem ter excluído o arquivo / diretório que contém o servidor web (mas o conteúdo real do arquivo / diretório permanece no disco, oculto, enquanto eles ainda estão em uso (veja /proc/<pid>/fd )
Você também deve ser capaz de ver em qual porta ele está escutando do netstat -na (portanto, você pode tentar apontar um navegador para ele).
Se você tiver motivos para suspeitar que é malicioso, consulte Como faço para lidar com um compromisso? servidor?
Pode valer a pena pesquisar o sistema de arquivos para ver quais arquivos, se houver, pertencem a esse usuário.
encontre / -user 1014 -tipo f | xargs ls -l