Portál AbcLinuxu, 5. května 2024 13:54
9015 root 20 0 3160 736 632 R 41.5 0.1 678:19.61 3 11373 petr 18 -2 51652 30m 8284 R 30.2 3.4 0:04.60 nxagent 11331 nx 18 -2 20320 18m 8588 S 7.6 2.1 0:00.34 nxserver 11379 nx 18 -2 6204 2264 1876 S 7.6 0.2 0:00.22 nxssh 11380 petr 18 -2 14524 8052 1076 S 7.6 0.9 0:00.40 nxnode 11458 petr 18 -2 20076 11m 7044 S 7.6 1.3 0:00.38 metacity 11552 root 18 -2 36192 13m 9360 R 7.6 1.6 0:00.82 gnome-terminal 11563 root 18 -2 2520 1180 884 R 7.6 0.1 0:00.10 topdále přikládam vypis ze stromu procesů:
init\u2500\u252c\u25003ot 15 -5 0 0 0 S 0.0 0.0 0:00.00 ata_aux
\u251c\u2500NetworkManager\u2500\u2500\u2500{NetworkManager}
\u251c\u2500NetworkManagerD]
atd...
po chvilce opět
init\u2500\u252c\u2500 3
\u251c\u2500NetworkManager\u2500\u2500\u2500{NetworkManager}
\u251c\u2500NetworkManagerD
(tedy potomkem init a jednou se jmenuje 3 a předtim 3ot ...)
problém je, že vubec nevím jak tetnto proces zanalyzovat. Nevím co to je za proces, co nebo kdo ho k čemju používá. Můžete mi poradit jak na to? Zjistit proč vytěžuje system a hlavně co ho spouští co ho potřebuje a co to vubec je?
attr coredump_filter fdinfo mem oom_adj sched task auxv cwd io mountinfo oom_score smaps wchan cgroup environ limits mounts pagemap stat clear_refs exe loginuid mountstats root statm cmdline fd maps net sessionid statuszkoušel jsem koukat na to exe v nautilu (vlastnosti souboru), ale nemuzu z toho nic zjistit
ls -l exe
cat exe > /tmp/xxx) a pozrieť sa, čo je v ňom.
^?ELF^A^A^A^@^@^@^@^@^@^@^@^@^B^@^C^@^A^@^@^@^@«^D^H4^@^@^@<9c>¨^L^@^@^@^@^@4^@ ^@^H^@(^@^[^@^Z^@^F^@^@^@4^@^@^@4<80>^D^H4<80>^D^H^@^A^@^@^@^A^@^@^E^@^@^@^D^@^@^@^C^@^@^@4^A^@^@4<81>^D^H4<81>^D^H^S^@^@^@^S^@^@^@^D^@^@^@^A^@^@^@^A^@^@^@^@^@^@^@^@<80>^D^H^@<80>^D^Heç^K^@eç^K^@^E^@^@^@^@^P^@^@^A^@^@^@^@ð^K^@^@p^P^H^@p^P^HÔ<8a>^@^@T^L^G^@^F^@^@^@^@^P^@^@^B^@^@^@^Dw^L^@^D÷^P^H^D÷^P^HØ^@^@^@Ø^@^@^@^F^@^@^@^D^@^@^@^D^@^@^@H^A^@^@H<81>^D^HH<81>^D^H ^@^@^@ ^@^@^@^D^@^@^@^D^@^@^@Påtd,<89>
^@, ^O^H, ^O^H<9c>1^@^@<9c>1^@^@^D^@^@^@^D^@^@^@Qåtd^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^G^@^@^@^D^@^@^@/lib/ld-linux.so.2^@^@^D^@^@^@^P^@^@^@^A^@^@^@GNU^@^@^@^@^@^B^@^@^@^D^@^@^@^A^@^@^@<83>^@^@^@¶^@^@^@J^@^@^@C^@^@^@6^@^@^@w^@^@^@<9b>^@^@^@^@^@^@^@o^@^@^@µ^@^@^@³^@^@^@}^@^@^@^C^@^@^@²^@^@^@G^@^@^@¢^@^@^@^P^@^@^@^?^@^@^@^Q^@^@^@¤^@^@^@<91>^@^@^@z^@^@^@^@^@^@^@^@^@^@^@«^@^@^@<86>^@^@^@q^@^@^@^@^@^@^@<9a>^@^@^@^@^@^@^@y^@^@^@¯^@^@^@H^@^@^@^@^@^@^@^@^@^@^@m^@^@^@^@^@^@^@W^@^@^@^@^@^@^@{^@^@^@^Z^@^@^@°^@^@^@¥^@^@^@?^@^@^@^X^@^@^@<98>^@^@^@<94>^@^@^@R^@^@^@a^@^@^@ ^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@´^@^@^@<8c>^@^@^@M^@^@^@¦^@^@^@b^@^@^@<85>^@^@^@±^@^@^@^@^@^@^@l^@^@^@^D^@^@^@<8e>^@^@^@n^@^@^@,^@^@^@^@^@^@^@d^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^L^@^@^@^@^@^@^@^V^@^@^@^]^@^@^@<9f>^@^@^@u^@^@^@^A^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@>^@^@^@<83>^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@s^@^@^@<8f>^@^@^@^N^@^@^@<99>^@^@^@I^@^@^@~^@^@^@<88>^@^@^@f^@^@^@B^@^@^@<9c>^@^@^@<9e>^@^@^@^@^@^@^@t^@^@^@g^@^@^@^@^@^@^@3^@^@^@¬^@^@^@¨^@^@^@®^@^@^@^G^@^@^@<89>^@^@^@©^@^@^@ª^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@i^@^@^@v^@^@^@^@^@^@^@<84>^@^@^@7^@^@^@<8b>^@^@^@¡^@^@^@"^@^@^@^@^@^@^@^@^@^@^@^@^@^@^B^@^@^@^@^@^@^@^@^@^@^@£^@^@^@<93>^@^@^@<96>^@^@^@^@^@^@^@4^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^[^@^@^@^F^@^@^@^M^@^@^@^@^@^@^@ ^@^@^@^@^@^@^@^S^@^@^@^@^@^@^@^@^@^@^@^E^@^@^@^^^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^T^@^@^@^@^@^@^@^@^@^@^@.^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@/^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^W^@^@^@5^@^@^@^@^@^@^@!^@^@^@^Y^@^@^@^@^@^@^@^@^@^@^@+^@^@^@^@^@^@^@=^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^U^@^@^@0^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@9^@^@^@E^@^@^@^K^@^@^@^@^@^@^@^@^@^@^@#^@^@^@^H^@^@^@^@^@^@^@^@^@^@^@-^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@)^@^@^@%^@^@^@^@^@^@^@1^@^@^@P^@^@^@Q^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@S^@^@^@Z^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@(^@^@^@^_^@^@^@D^@^@^@e^@^@^@<^@^@^@;^@^@^@^@^@^@^@^@^@^@^@8^@^@^@'^@^@^@r^@^@^@^@^@^@^@
^@^@^@U^@^@^@O^@^@^@^@^@^@^@_^@^@^@A^@^@^@V^@^@^@T^@^@^@^@^@^@^@\^@^@^@Y^@^@^@X^@^@^@N^@^@^@^@^@^@^@j^@^@^@<82>^@^@^@x^@^@^@^@^@^@^@^O^@^@^@&^@^@^@^\^@^@^@^@^@^@^@k^@^@^@K^@^@^@2^@^@^@F^@^@^@c^@^@^@<8a>^@^@^@^@^@^@^@^@^@^@^@[^@^@^@L^@^@^@*^@^@^@]^@^@^@:^@^@^@<8d>^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@$^@^@^@^R^@^@^@<81>^@^@^@|^@^@^@^@^@^@^@<97>^@^@^@<87>^@^@^@<80>^@^@^@p^@^@^@^@^@^@^@ ^@^@^@<95>^@^@^@@^@^@^@^@^@^@^@^@^@^@^@^^@^@^@^@^@^@^@§^@^@^@<9d>^@^@^@<92>^@^@^@^@^@^@^@<90>^@^@^@`^@^@^@h^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@^@]^A^@^@àÙ^E^H^_^@^@^@"^@^L^@<8a>^@^@^@è¡^D^H»^A^@^@^R^@^@^@^^C^@^@ø¡^D^H^Z^@^@^@^R^@^@^@ÿ^A^@^@^H¢^D^H@^@^@^@^R^@^@^@«^E^@^@^X¢^D^H:^@^@^@^R^@^@^@^Y^B^@^@(¢^D^Hà^H^@^@^R^@^@^@r^A^@^@8¢^D^Hà*^@^@^R^@^@^@^M^E^@^@H¢^D^H^?^@^@^@^R^@^@^@J^C^@^@X¢^D^HX^@^@^@^R^@^@^@Ü^C^@^@h¢^D^HS^@^@^@^R^@^@^@<85>^E^@^@x¢^D^Hg^A^@^@^R^@^@^@J^@^@^@^@^@^@^@^@^@^@^@ ^@^@^@ê^E^@^@^@^@^@^@^@^@^@^@ ^@^@^@È^A^@^@<98>¢^D^H/^B^@^@^R^@^@^@M^B^@^@¨¢^D^HX^@^@^@^R^@^@^@¸^B^@^@¸¢^D^H<8e> ^@^@^R^@^@^@^_^D^@^@È¢^D^H|^C^@^@^R^@^@^@Ù^E^@^@øq^P^H^D^@^@^@^Q^@^R^@÷^@^@^@Ø¢^D^H^K^@^@^@^R^@^@^@<98>^A^@^@è¢^D^HÏ^@^@^@^R^@^@^@^F^B^@^@ø¢^D^H.^@^@^@^R^@^@^@ì^C^@^@^H£^D^H]^@^@^@^R^@^@^@þ^E^@^@<88>t^P^H^T^@^@^@!^@^R^@æ^A^@^@`´^F^H*^@^@^@^R^@^L^@õ^B^@^@^X£^D^HM+^@^@^R^@^@^@À^D^@^@(£^D^H|^@^@^@^R^@^@^@3^D^@^@8£^D^H<9a>^@^@^@^R^@^@^@^G^D^@^@H£^D^H8^@^@^@^R^@^@^@m^B^@^@X£^D^Hx^@^@^@^R^@^@^@.^E^@^@h£^D^H,^@^@^@^R^@^@^@8^D^@^@x£^D^H%^@^@^@^R^@^@^@k^D^@^@<88>£^D^Hq^@^@^@^R^@^@^@²^E^@^@<98>£^D^H#^@^@^@^R^@^@^@È^C^@^@¨£^D^HZ^@^@^@^R^@^@^@Ø^A^@^@¸£^D^Hñ^@^@^@^R^@^@^@¶^D^@^@È£^D^H7^@^@^@^R^@^@^@D^C^@^@Ø£^D^H6^@^@^@^R^@^@^@<^@^@^@è£^D^H^K^@^@^@^R^@^@^@W^C^@^@ø£^D^H×^@^@^@^R^@^@^@<9e>^B^@^@^H¤^D^HÝ^@^@^@^R^@^@^@<89>^C^@^@^X¤^D^H6^@^@^@^R^@^@^@^H^C^@^@(¤^D^Hb^@^@^@^R^@^@^@<84>^B^@^@8¤^D^H<94>^@^@^@^R^@^@^@¿^A^@^@H¤^D^H±^@^@^@^R^@^@^@.^A^@^@X¤^D^H^S^@^@^@^R^@^@^@¡^E^@^@h¤^D^HØ^@^@^@^R^@^@^@^T^F^@^@ t^P^H ^@^@^@!^@^R^@{^D^@^@x¤^D^H^Q^F^@^@^R^@^@^@´^C^@^@<88>¤^D^HE^@^@^@^R^@^@^@%^F^@^@4s^P^H^L^@^@^@!^@^R^@4^B^@^@<98>¤^D^Hx^@^@^@^R^@^@^@Î^D^@^@¨¤^D^Hí'^@^@^R^@^@^@Y^@^@^@¸¤^D^Há^@^@^@^R^@^@^@ü^D^@^@Ȥ^D^H*^@^@^@^R^@^@^@6^F^@^@<80>s^P^H,^@^@^@!^@^R^@ ^C^@^@ؤ^D^H<9b>^A^@^@^R^@^@^@^Q^D^@^@è¤^D^HQ^A^@^@^R^@^@^@Ò^B^@^@ø¤^D^Hx^@^@^@^R^@^@^@F^B^@^@^H¥^D^H~^@^@^@^R^@^@^@,^B^@^@^X¥^D^H<80>^A^@^@^R^@^@^@À^B^@^@ò½^F^H^@^@^@^@"^@^L^@:^B^@
zaujali mě tam určité sekvence jako třeba "/lib/ld-linux.so.2"
nebo sekvence co je o kousek dál:
@libm.so.6^@_Jv_RegisterClasses^@__gmon_start__^@libgcc_s.so.1^@_Unwind_GetIP^@pthread_create^@_Unwind_Resume_or_Rethrow^@_Unwind_GetRegionStart^@__umoddi3^@__udivdi3^@pthread_once^@_Unwind_Resume^@_Unwind_DeleteException^@_Unwind_RaiseException^@_Unwind_SetIP^@_Unwind_GetTextRelBase^@_Unwind_GetLanguageSpecificData^@_Unwind_SetGR^@_Unwind_GetDataRelBase^@libc.so.6^@putchar^@strcpy^@ioctl^@__strtod_internal^@stdout^@recv^@connect^@ungetc^@__strtoull_internal^@sigemptyset^@strerror^@fdopen^@snprintf^@getenv^@wcslen^@memmem^@__strtol_internal^@usleep^@getpid^@qsort^@fgets^@__strtoll_internal^@setvbuf^@creat^@puts^@getuid^@system^@feof^@malloc^@isatty^@optarg^@btowc^@recvfrom^@opterr^@socket^@select^@__strtoul_internal^@fflush^@wmemcpy^@send^@abort^@wcscoll^@ftrylockfile^@pipe^@accept^@strrchr^@__ctype_tolower_loc^@__strtold_internal^@wmemchr^@kill^@strcat^@bind^@setsockopt^@fseek^@optind^@stdin^@wait^@umask^@ferror^@flock^@signal^@iswctype^@strcoll^@wcsrtombs^@wmemset^@strncpy^@unlink^@sendto^@funlockfile^@realloc^@towupper^@__cxa_atexit^@listen^@fork^@sscanf^@isalpha^@sigaction^@fread^@strdup^@gettimeofday^@getopt^@localtime^@ftell^@strxfrm^@mbsrtowcs^@tcgetattr^@poll^@strcmp^@pthread_mutex_unlock^@gethostbyname^@sprintf^@fclose^@flockfile^@setlocale^@stderr^@__ctype_b_loc^@getsockopt^@strftime^@wmemcmp^@wmemmove^@fwrite^@__xstat^@__strtof_internal^@pthread_mutex_lock^@wcsftime^@__errno_location^@towlower^@__fxstat^@fopen^@_IO_putc^@fileno^@__ctype_toupper_loc^@_IO_stdin_used^@_exit^@wctob^@__libc_start_main^@strlen^@wcsxfrm^@strchr^@setsid^@recvmsg^@fcntl^@tcsetattr^@mkdir^@vfprintf^@raise^@free^@getsockname^@fopen64^@__libc_stack_end^@pthread_getspecific^@_ZTVSt13bad_exception^@_ZTVSt9type_info^@_ZTISt9bad_alloc^@_ZTVN10__cxxabiv120__si_class_type_infoE^@__new_handler^@pthread_key_create^@_ZTVSt9bad_alloc^@_ZTVSt9exception^@_ZTVN10__cxxabiv117__class_type_infoE^@_ZTVSt10bad_typeid^@_ZTVSt8bad_cast^@_ZNSt13bad_exceptionD1Ev^@_ZTVN10__cxxabiv121__vmi_class_type_infoE^@_ZN10__cxxabiv119__terminate_handlerE^@_ZNSt9bad_allocD1Ev^@_ZTISt13bad_exception^@_ZN10__cxxabiv120__unexpected_handlerE^@pthread_setspecific^@GLIBC_2.2^@GLIBC_2.1.3^@GLIBC_2.1^@GLIBC_2.0^@GCC_3.3^@GCC_3.0^@^Přikládám celý tento soubor, pro někoho kdo ho dokáže lépe zanalyzovat než já.
objdump -T napovi, co ten program pouziva za funkce. Vzhledem k tomu, ze tam jsou i funkce pro praci se sockety bych se podival, jake spojeni ma ten proces otevrene: netstat -p | grep "${PID_PROCESU}/".
# konfigurace (zm\u011bny provest i v /etc/init.d/hamachichack.sh)
HAM_NET=sit
#sit pro pripojeni
HAM_PAS=heslo
#heslo pro pripojeni
HAM_CONF=/etc/hamachi
#zde se naleza konfigurace hamachi
HAM_PATH=/usr/bin
#zde se naleza hamachi
hamachi_start() {
echo "Starting hamachi..."
/sbin/tuncfg
#$HAM_PATH/hamachi-init
$HAM_PATH/hamachi -c $HAM_CONF start
/bin/chmod 760 /var/run/tuncfg.sock
/bin/chgrp hamachi /var/run/tuncfg.sock
echo "Login hamachi to server Group with key heslo..."
echo "Pokud to zde selze tak zeditovat subor /etc/init.d/hamachi.sh"
$HAM_PATH/hamachi -c $HAM_CONF login
sleep 5;
$HAM_PATH/hamachi -c $HAM_CONF join $HAM_NET $HAM_PAS
$HAM_PATH/hamachi -c $HAM_CONF go-online $HAM_NET
echo "Pokus o zalogovani probehl..."
echo "Spou\u0161tím kontrolu b\u011bhu hamachi na pozadí..."
/etc/init.d/hamachichack.sh &
echo "Kontrola b\u011bhu byla spu\u0161t\u011bna na pozadí(/etc/init.d/hamachichack.sh)..."
}
hamachi_stop() {
echo "Stopping hamachi..."
$HAM_PATH/hamachi -c $HAM_CONF stop
killall tuncfg
}
hamachi_restart() {
hamachi_stop
sleep 1
hamachi_start
}
case "$1" in
'start')
hamachi_start
;;
'stop')
hamachi_stop
;;
'restart')
hamachi_restart
;;
*)
hamachi_start
esac
/etc/init.d/hamachichack.sh
#!/bin/bash
# konfigurace (zm\u011bny provest i v /etc/init.d/hamachi.sh)
HAM_NET=server
#sit pro pripojeni
HAM_PAS=heslo
#heslo pro pripojeni
HAM_CONF=/etc/hamachi
#zde se naleza konfigurace hamachi
HAM_PATH=/usr/bin
#zde se naleza hamachi
tr=1
hamachi_list_chack()
{
read zrur2
if [[ $zrur2 =~ 'server' ]] ; then
sleep 60s;
else
$HAM_PATH/hamachi -c $HAM_CONF go-online $HAM_NET;
sleep 60s;
$HAM_PATH/hamachi -c $HAM_CONF list | hamachi_list_chack;
echo " ">> /home/petr/Desktop/hamachi.log;
date>> /home/petr/Desktop/hamachi.log;
echo " CHYBA: hamachi ma spatny list" >> /home/petr/Desktop/hamachi.log;
fi
}
hamachi_login_chack()
{
read zrur
if [[ $zrur =~ 'Already logged in.' ]] ; then
$HAM_PATH/hamachi -c $HAM_CONF list | hamachi_list_chack
else
echo " ">> /home/petr/Desktop/hamachi.log;
date>> /home/petr/Desktop/hamachi.log;
echo " CHYBA: hamachi není zalogované" >> /home/petr/Desktop/hamachi.log;
sleep 60s;
$HAM_PATH/hamachi -c $HAM_CONF login | hamachi_login_chack;
fi
}
until [ "$tr" -eq 7 ]
do
$HAM_PATH/hamachi -c $HAM_CONF login | hamachi_login_chack;
done
exit 0
PS:omlouvam se, že to řeším takhle po dlouhé době, ale nemám teď moc času, tak sem vždy mrknu. Moc děkuji, že se tím zabíváte.
3, i kdyz byl ocividne pojmenovany jinak, takze si po spusteni jeste menil svoje argumenty (cti tohle nahoda nebude 
. Takze urcite doporucuji vyzkouset tuhle radu a kdyz tak se mrknout i na ty otevrene soubory.
inittab, jestli tam není něco podezřelého. Možná i frontu at.
Jestli ho opravdu zlikvidujete a on se pak spustí znovu, zkusil bych prohledat cron tabulky (uživatelské i systémovou) a inittab, jestli tam není něco podezřelého. Možná i frontu at.
Potřeboval bych asi lepší návod. Nejsem příliš zběhlý (snad zatím).
Sat Dec 5 00:44:51 CET 2009 CHYBA: hamachi není zalogované Sat Dec 5 00:45:51 CET 2009 CHYBA: hamachi není zalogované Sat Dec 5 00:46:51 CET 2009 CHYBA: hamachi není zalogovanéA pokračuje v tom směle dál. Tedy asi to bude určitím způsobem souviset z hamachi. Nebo to muže být jinak?
Tiskni
Sdílej:
ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.