SuSE prozess > progogramm ausfindigmachen

woodstock

Anfänger

Beiträge: 5

Wohnort: woodstock NB CA

Beruf: LHC

1

23.04.2007, 04:29

prozess > progogramm ausfindigmachen

moin moin,
ich hab auf unserem webserver das problem das ich bei aufrufen von ps bzw pstree -p einen Prozess namens h habe.

selbiger muß auf grund des traffigs ein p2p sein.

wie bekomme ich herraus welches programm den prozess startet bzw wo die dateien zu dem prozess liegen

Gru
Fred

Zum Seitenanfang

strcat

Unix Gladiator

Beiträge: 2 331

Wohnort: /Earth/Germany/Bavaria/Regensburg

2

23.04.2007, 06:33

RE: prozess > progogramm ausfindigmachen

$ strace -p pid-des-prozesses
$ lsof -i
$ netstat -a
$ which -a h

Der Prozess *ist* das Programm. Das wird entweder von einem Script oder "direkt" vom User gestartet. Wenn es als root laeuft und Du es definitiv nicht gestartet hast, dann hast Du ein Problem.

Christian 'strcat' Schneider <http://www.strcat.de/>
/* When all else fails, read the instructions. */

Zum Seitenanfang

woodstock

Anfänger

Beiträge: 5

Wohnort: woodstock NB CA

Beruf: LHC

3

24.04.2007, 13:17

moin moin,

thx ich schau mal wos klemmt
root hmm dürfte nicht sein da das passwort eigentlich regelmäßig geändert wird.
ich gehe aber davon aus das ich auch über den weg sehe unter welchem user die sache rennt kann ich wohl eher das loch finden.

In den letzten wochen hatten wir im bereich der canada Foren extreme probleme mit häckern.

Das alte CND.cd forum was das größte war hat deshalb auch seinen betrieb eingestellt.
Gruß
Fred

Zum Seitenanfang

woodstock

Anfänger

Beiträge: 5

Wohnort: woodstock NB CA

Beruf: LHC

4

24.04.2007, 23:24

RE: prozess > progogramm ausfindigmachen

moin moin,

Zitat

Original von strcat
$ strace -p pid-des-prozesses

Kennt der server anscheinent nicht.

Zitat

v$ lsof -i
$ netstat -a

hier she ich den prozess

Zitat

$ which -a h

keine ausgabe versuchs ich mit ssh bekomm ich den phat :-(

Zitat

Der Prozess *ist* das Programm. Das wird entweder von einem Script oder "direkt" vom User gestartet. Wenn es als root laeuft und Du es definitiv nicht gestartet hast, dann hast Du ein Problem.

der Prozess läuft als ein user

nu könnt ich k...

was kann man dagegen machen
ichhab den bereich des users durchsucht aber nix gefunden :-((

gruß
fred

Zum Seitenanfang

strcat

Unix Gladiator

Beiträge: 2 331

Wohnort: /Earth/Germany/Bavaria/Regensburg

5

24.04.2007, 23:41

RE: prozess > progogramm ausfindigmachen

Zitat

Original von woodstock

Zitat

Original von strcat
$ strace -p pid-des-prozesses

Kennt der server anscheinent nicht.

Was kennt der Server anscheinend nicht? strace kann nachinstalliert werden.

Zitat

hier she ich den prozess

Dann poste die Ausgabe hier.

Zitat

der Prozess läuft als ein user

nu könnt ich k...

was kann man dagegen machen
ichhab den bereich des users durchsucht aber nix gefunden :-((

Der Bereich des Users ist ueberall da, wo er Dateien ablegen/ausfuehren kann. Bei einem "normalem" System ist das sein $HOME und /tmp. Wenn der User jedoch die UID 0 hat(te), dann kann er das Programm ueberall abgelegt und ausgefuehrt haben. Ohne genauere Informationen ist das allerdings nur geraten.

Nimm den Host vom Netz, lass ihn von jemandem mit Erfahrung analysieren und das System neu aufspielen. Nein. Das ist *nicht* uebertrieben, sondern die gaengige und notwendige Vorgehensweise in so einem Fall.

Christian 'strcat' Schneider <http://www.strcat.de/>
/* When all else fails, read the instructions. */

Zum Seitenanfang

woodstock

Anfänger

Beiträge: 5

Wohnort: woodstock NB CA

Beruf: LHC

6

25.04.2007, 04:30

hallo Christian,

jo nu muß ich warten bis der prozess wieder da ist :-(

Dann werd ich die ausgabe hier einsetzen

ich hoffe das das zeitlich noch past da es sein kann das ich ab Donnerstag 3 wochen off bin.

Grüße aus CA
Fred