我注意到一个未知的mysqldump命令正在我的系统上执行。 但是我没有configuration我的系统来发出这个命令。 以下是我做ps aux时的输出 grep mysqldump
500 28651 0.0 0.0 7892 1852 ? Ss 00:26 0:01 /usr/bin/mysqldump --opt --default-character-set=utf8 --skip-extended-insert --allow-keywords --quote-names --compact --complete-insert --skip-lock-tables --quick --skip-comments --host=localhost --user=database_user --password=x xxxxxxxxxxxxxxxxxxx database atable 500可能是我自己的用户帐户(只有一个有bash访问)
我已经尝试了一切,如last , history和cron日志,但无法find源。
如何find谁在我的系统上执行这个特定的命令?
更新 :这是getent passwd 500输出:
myusername:x:500:500::/home/myusername:/bin/bash
它再次发生,现在我有更多的信息
这是cat /proc/28126/status
Name: mysqldump State: S (sleeping) SleepAVG: 98% Tgid: 28126 Pid: 28126 PPid: 28108 TracerPid: 0 FNid: 10048627 Uid: 500 500 500 500 Gid: 500 500 500 500 FDSize: 64 Groups: 500 501
这是ps auxf | grep mysqldump输出 ps auxf | grep mysqldump
500 28126 0.0 0.0 7892 1852 ? Ss 08:05 0:01 \_ /usr/bin/mysqldump --opt --default-character-set=utf8 --skip-extended-insert --allow-keywords --quote-names --compact --complete-insert --skip-lock-tables --quick --skip-comments --host=localhost --user=datebase_user --password=x xxxxxxxxxxxxxxxxxxx database anothertable
更新2:这是ps aux | grep 28108输出 ps aux | grep 28108
500 28108 0.1 0.0 10504 2024 ? S 08:05 0:04 sshd: myusername@notty
哦,看起来像有人sshd,但如何findIP?
getent passwd 500应该告诉你哪个用户有500个。因为tty列是一个? 它似乎没有被附加到当前的特定login。 (尽pipe这可能意味着有人以交互方式启动它,然后将其disown 。
我不知道你是否有一个你不知道的计划在cron中的备份。 你可以用crontab -l -u username或cat /var/spool/cron/crontabs/username来检查用户的crontab,并检查/etc/cron.d目录/etc/cron.daily /etc/cron.hourly
将--forest添加到您的ps命令中。 这会显示你所有进程的父母/子女关系。 你应该能够走上树,直到你find什么开始。