Отловить кто запускает приложение

0

1

В произвольные моменты времени какой-то зловредный скрипт от рута (непонятно какой) дергает приложение.

Приложение дальше отдает команду на рестарт демонов, т.е. работает очень быстро. (Нет, это не скрипт, и исходников нет, поправить его не получится.)

Можно ли как-нибудь удобно отлавливать такие запуски и выводить в файл, кто дергает приложение?

Может есть какой-то хук на создание процесса, который можно обработать в баше?

←	Помогите!Как импортировать закладки?

→

в ядре патч мутить, чтоб вызов exec с путём твоей программы в dmesg писал :)

Harald ★★★★★
(03.12.14 16:01:39 MSK)

подмени приложение своим скриптом, в котором проведи анализ строки запуска

bvn13 ★★★★★
(03.12.14 16:02:09 MSK)

dnotify?

anonymous
(03.12.14 16:05:08 MSK)

Ответ на: комментарий от Harald 03.12.14 16:01:39 MSK

школота не знает про auditd, но уже лезет патчить ядро?

anonymous
(03.12.14 16:23:37 MSK)

Ответ на: комментарий от anonymous 03.12.14 16:23:37 MSK

естественно

Harald ★★★★★
(03.12.14 16:51:31 MSK)

В скрипт рестарта демона поставить ps afx ?

sin_a ★★★★★
(03.12.14 18:15:34 MSK)

Контроль за системой потерян, у зловредного скрипта есть рутовые права: поможет только реинстал системы.

~~xtraeft~~ ★★☆☆
(03.12.14 18:24:57 MSK)

Ответ на: комментарий от xtraeft 03.12.14 18:24:57 MSK

этот скрипт написал админ, и зачем-то он не в кроне, и дырявая память админа стёрла смысл существования этого чудовища, но оно есть

~~stevejobs~~ ★★★★☆
(03.12.14 18:36:16 MSK) автор топика

Ответ на: комментарий от stevejobs 03.12.14 18:36:16 MSK

Ну и кто его запускает, если не крон? Гномики?

~~xtraeft~~ ★★☆☆
(03.12.14 18:42:33 MSK)

Ответ на: комментарий от xtraeft 03.12.14 18:42:33 MSK

бесконечный цикл. Или какой-то из скриптов в кроне. Не знаю, это не мой сервер, тут днем с огнем ничего не найдешь.

~~stevejobs~~ ★★★★☆
(03.12.14 18:45:39 MSK) автор топика

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Помогите!Как импортировать закладки?

→

Похожие темы