[root@home ~]# ps au | grep httpd 1014 9701 0.0 0.2 281620 3124 pts/24 Sl+ 18:41 0:00 ./bin/httpd -X root 9742 0.0 0.0 3084 720 pts/22 R+ 18:45 0:00 grep httpd 顺便说一下, Sl+和R+是什么意思? 1014是黑客吗? 为什么在我的系统上? 它有什么特权? 它可以摧毁我的系统,或有任何伤害?
@彼得·韦斯特莱克猫/ etc / passwd | grep 1014 hugemeow:x:1014:1014 :: / home / hugemeow:/ bin / bash问题是为什么ps au不显示名称? 但显示其号码?
每个用户都有一个数字ID和一个名字。 这可能是安装httpd服务器时创build的帐户。 你有尝试过吗?
grep 1014 /etc/passwd
Sl+和R+是过程的状态,它表示以下内容
R – 运行或可运行(在运行队列上)
S – 可中断的睡眠(等待事件完成)
l – 是multithreading的(使用CLONE_THREAD,就像NPTL pthreads一样)
+ – 在前台进程组中。
如果你自己没有开始这个过程,看起来好像有人已经启动了它,并且它正在某个地方的前台运行。
1014是系统上的一个uid。
如果这对你来说是一个不知名的用户,你应该开始检查你的系统被黑客攻击的可能性。 看看chkrootkit和rkhunter来检查系统上的可疑文件。
要么你有一个名为“1014”的用户,或者在uid 1014用户的/ etc / passwd中的条目已被删除。 通过一切办法检查/ etc / passwd – 但我怀疑后一种情况是更有可能的。
任何监听保留端口的服务器进程都必须由root启动,然后降级到不同的用户。 如果你运行'ps -ef',那么你将能够得到你所关心的东西的父进程。 如果它是由根开始的,那么你可以开始变得更加担心。 从/proc/<pid>/文件中,您将能够看到各种各样的东西 – 就像“./bin/httpd”所在的位置。
Apache的-X选项(如果这是Apache)运行一个单独的worker,并且该进程不守护进程(保持与从其开始的pty关联)。 如果/proc/<pid>/exe没有指向随您的isntallation提供的文件,那么您可以通过对可执行文件运行“string”来了解更多关于它的信息。
如果它是恶意的,并且有人通过删除passwd条目覆盖他们的轨道,那么他们可能已经删除了包含web服务器的文件/目录(但是文件/目录的实际内容保留在磁盘上,在使用中(请参阅/proc/<pid>/fd )
你也应该能够从netstat -na看到它正在监听的端口(因此你可以试着指向一个浏览器)。
如果您有理由怀疑它是恶意的,请参阅如何处理受感染的服务器?
可能值得search文件系统来查看该用户拥有哪些文件。
find/ -user 1014 -type f | xargs ls -l