LINUX.ORG.RU
ФорумAdmin

Что за процесс запущен в Ubuntu?

 


0

5

Здравствуйте, уважаемые! Как не зайду на сервачок Ubuntu, там загрузка 2 и в топе процесс «sh». Как узнать о нём что-нибудь поподробнее, что это?

top - 14:54:03 up 3 days, 18:46,  1 user,  load average: 2,16, 1,93, 1,76
Tasks: 184 total,   1 running, 183 sleeping,   0 stopped,   0 zombie
%Cpu(s): 11,5 us, 30,4 sy,  0,0 ni, 56,7 id,  0,3 wa,  0,0 hi,  1,1 si,  0,0 st
МиБ Mem : 7875,793 total,  888,219 free,  752,301 used, 6235,273 buff/cache
МиБ Swap:  975,996 total,  811,848 free,  164,148 used. 6657,562 avail Mem

  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
20822 seventh   20   0    4504   1692   1548 S  12,0  0,0 292:01.50 sh

Ссылка /proc/20822/exe куда указывает? Ну и список процессов смотри до кучи.

Тут или скрипт какой завис, или кто-то тебе что-то подкинул веселого.

Radjah ★★★★★
()
Последнее исправление: Radjah (всего исправлений: 2)
Ответ на: комментарий от Radjah

/bin/dash

root@7th-server:~# ps aux | grep 20822
root     11239  0.0  0.0  15468  1032 pts/0    S+   15:03   0:00 grep --color=auto 20822
seventh  20822 11.5  0.0   4504  1692 ?        S    май16 293:09 /bin/sh
seventhsite
() автор топика
Ответ на: комментарий от Radjah
root@7th-server:~# pstree 20822
sh

Не пойму, при нажатии F5 (Tree) в htop, процесс пропадает из списка. На первом месте оказывается другой, с загрузкой проца 0.

seventhsite
() автор топика

Опять майнер завезли?

mandala ★★★★★
()
Ответ на: комментарий от seventhsite

Ну ещё бы, ты жв дерево переключился. Прокрути до своего процесса и посмотри, кто его запустил.

Aceler ★★★★★
()
Ответ на: комментарий от seventhsite

/bin/sh

Это интересная строка запуска.

По-моему, кто-то подсадил тебе майнера, ага.

Aceler ★★★★★
()
Последнее исправление: Aceler (всего исправлений: 1)
Ответ на: комментарий от seventhsite

В общем, пока разбирался с htop, прибил процесс, пока тишина. Понаблюдаю.

seventhsite
() автор топика
Ответ на: комментарий от deadNightTiger

В общем-то, история продолжилась. Через время процесс появился снова, и даже два процесса одновременно были. Единственное, с чем могу преположительно связать из своих действий - копирование файлов с другого сервера по ssh, с помощью mc. Инициированное как с моего сервера, так и с удалённого. Только процессы не завершаются после окончания копирования, так что это только предположение.

А где именно смотреть открытые файлы в директории процесса? Сейчас так:

root@7th-server:~# ls -l /proc/3409/
итого 0
dr-xr-xr-x 2 seventh seventh 0 май 27 07:09 attr
-rw-r--r-- 1 seventh seventh 0 май 27 07:09 autogroup
-r-------- 1 seventh seventh 0 май 27 07:09 auxv
-r--r--r-- 1 seventh seventh 0 май 27 07:09 cgroup
--w------- 1 seventh seventh 0 май 27 07:09 clear_refs
-r--r--r-- 1 seventh seventh 0 май 26 15:39 cmdline
-rw-r--r-- 1 seventh seventh 0 май 27 07:09 comm
-rw-r--r-- 1 seventh seventh 0 май 27 07:09 coredump_filter
-r--r--r-- 1 seventh seventh 0 май 27 07:09 cpuset
lrwxrwxrwx 1 seventh seventh 0 май 27 07:09 cwd -> /home/seventh
-r-------- 1 seventh seventh 0 май 27 07:09 environ
lrwxrwxrwx 1 seventh seventh 0 май 26 15:39 exe -> /bin/dash
dr-x------ 2 seventh seventh 0 май 27 07:09 fd
dr-x------ 2 seventh seventh 0 май 27 07:09 fdinfo
-rw-r--r-- 1 seventh seventh 0 май 27 07:09 gid_map
-r-------- 1 seventh seventh 0 май 27 07:09 io
-r--r--r-- 1 seventh seventh 0 май 27 07:09 limits
-rw-r--r-- 1 seventh seventh 0 май 27 07:09 loginuid
dr-x------ 2 seventh seventh 0 май 27 07:09 map_files
-r--r--r-- 1 seventh seventh 0 май 27 07:09 maps
-rw------- 1 seventh seventh 0 май 27 07:09 mem
-r--r--r-- 1 seventh seventh 0 май 27 07:09 mountinfo
-r--r--r-- 1 seventh seventh 0 май 27 07:09 mounts
-r-------- 1 seventh seventh 0 май 27 07:09 mountstats
dr-xr-xr-x 5 seventh seventh 0 май 27 07:09 net
dr-x--x--x 2 seventh seventh 0 май 27 07:09 ns
-r--r--r-- 1 seventh seventh 0 май 27 07:09 numa_maps
-rw-r--r-- 1 seventh seventh 0 май 27 07:09 oom_adj
-r--r--r-- 1 seventh seventh 0 май 27 07:09 oom_score
-rw-r--r-- 1 seventh seventh 0 май 27 07:09 oom_score_adj
-r-------- 1 seventh seventh 0 май 27 07:09 pagemap
-r-------- 1 seventh seventh 0 май 27 07:09 personality
-rw-r--r-- 1 seventh seventh 0 май 27 07:09 projid_map
lrwxrwxrwx 1 seventh seventh 0 май 27 07:09 root -> /
-rw-r--r-- 1 seventh seventh 0 май 27 07:09 sched
-r--r--r-- 1 seventh seventh 0 май 27 07:09 schedstat
-r--r--r-- 1 seventh seventh 0 май 27 07:09 sessionid
-rw-r--r-- 1 seventh seventh 0 май 27 07:09 setgroups
-r--r--r-- 1 seventh seventh 0 май 27 07:09 smaps
-r-------- 1 seventh seventh 0 май 27 07:09 stack
-r--r--r-- 1 seventh seventh 0 май 26 15:39 stat
-r--r--r-- 1 seventh seventh 0 май 27 07:05 statm
-r--r--r-- 1 seventh seventh 0 май 27 07:09 status
-r-------- 1 seventh seventh 0 май 27 07:09 syscall
dr-xr-xr-x 3 seventh seventh 0 май 27 07:09 task
-r--r--r-- 1 seventh seventh 0 май 27 07:09 timers
-rw-r--r-- 1 seventh seventh 0 май 27 07:09 uid_map
-r--r--r-- 1 seventh seventh 0 май 27 07:09 wchan


root@7th-server:~# ls -l /proc/3409/map_files/
итого 0
lr-------- 1 seventh seventh 64 май 27 07:09 557d0ac59000-557d0ac7d000 -> /bin/dash
lr-------- 1 seventh seventh 64 май 27 07:09 557d0ae7c000-557d0ae7e000 -> /bin/dash
lr-------- 1 seventh seventh 64 май 27 07:09 557d0ae7e000-557d0ae7f000 -> /bin/dash
lr-------- 1 seventh seventh 64 май 27 07:09 7f53c18d4000-7f53c1a94000 -> /lib/x86_64-linux-gnu/libc-2.23.so
lr-------- 1 seventh seventh 64 май 27 07:09 7f53c1a94000-7f53c1c94000 -> /lib/x86_64-linux-gnu/libc-2.23.so
lr-------- 1 seventh seventh 64 май 27 07:09 7f53c1c94000-7f53c1c98000 -> /lib/x86_64-linux-gnu/libc-2.23.so
lr-------- 1 seventh seventh 64 май 27 07:09 7f53c1c98000-7f53c1c9a000 -> /lib/x86_64-linux-gnu/libc-2.23.so
lr-------- 1 seventh seventh 64 май 27 07:09 7f53c1c9e000-7f53c1cc4000 -> /lib/x86_64-linux-gnu/ld-2.23.so
lr-------- 1 seventh seventh 64 май 27 07:09 7f53c1ec3000-7f53c1ec4000 -> /lib/x86_64-linux-gnu/ld-2.23.so
lr-------- 1 seventh seventh 64 май 27 07:09 7f53c1ec4000-7f53c1ec5000 -> /lib/x86_64-linux-gnu/ld-2.23.so
seventhsite
() автор топика
Ответ на: комментарий от seventhsite
  PID USER      PR  NI    VIRT    RES    SHR S  %CPU %MEM     TIME+ COMMAND
 3409 seventh   20   0    4504   1704   1564 S  12,0  0,0 114:14.34 sh
seventhsite
() автор топика
Ответ на: комментарий от seventhsite

А, невнимательно прочитал сообщение. Вот директория fd:

root@7th-server:~# ls -l /proc/3409/fd/
итого 0
lr-x------ 1 seventh seventh 64 май 27 07:11 0 -> pipe:[804286882]
l-wx------ 1 seventh seventh 64 май 27 07:11 1 -> pipe:[804286883]
l-wx------ 1 seventh seventh 64 май 27 07:11 2 -> pipe:[804286884]
lr-x------ 1 seventh seventh 64 май 27 07:11 3 -> pipe:[1059811174]
seventhsite
() автор топика
Ответ на: htop от seventhsite

Как раз сейчас в tmux идёт копирование в mc.

root@7th-server:~# w
 07:19:54 up 4 days, 16:13,  2 users,  load average: 1,84, 1,76, 1,75
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
seventh  pts/0    192.168.7.7      06:10    2.00s  0.08s  0.00s sshd: seventh [priv]
root     pts/1    tmux(3489).%0    Сб15   15:59m  7:58   5:15  ssh  -l seventh example.com echo FISH:; /bin/sh

Понаблюдаю ещё по завершении. Часов 8 осталось...

seventhsite
() автор топика
Ответ на: комментарий от anonymous

Я так понимаю, это в реальном времени и оно бесконечно? Вот, что последнее я видел, пока не надоело наблюдать и не нажал Ctrl+C :)

seventhsite
() автор топика
Ответ на: комментарий от seventhsite

Вроде ничего необычного. Смотрите в сторону LD_PRELOAD. Также посмотрите открытые порты: ss -antp

anonymous
()
Ответ на: комментарий от anonymous

В открытых портах kodi, samba, FTP, ssh и несколько обращений к apache. Сервер за натом, проброшены порты. Порт ssh нестандартный, в pastebin поменял на 22-ой. Что ещё...

Про LD_PRELOAD почитал, боюсь, слишком сложно для меня :(

seventhsite
() автор топика
Ответ на: комментарий от seventhsite

mc

Mc-релейтед муть гуглится по запросу sshd «echo fish:;». Судя по скрину хтопа выше походу он что-то запускает и это что-то либо виснет либо в лупе застревает. Вот кучка линков, мб натолкнет на мысли:

https://mail.gnome.org/archives/mc/2011-October/msg00000.html
https://forums.zyxmon.org/viewtopic.php?p=17592&sid=dd63dbc992aa1bf821aa5...
https://kubuntu.ru/node/6256

entefeed ☆☆☆
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.