Bonjour à tous,
J'ai eu une grosse frayeur hier après-midi : je comptais lancer wesnoth et ça rame, ça rame, limite freeze. Inquiet, je me logue sur tty1 et je lance un top qui me révéle qu'un processus "apple2" est en train d'engloutir 80 à 90 % des ressources CPU.
Il y a deux choses vraiment pas normal à cet incident :
1*/ je n'ai jamais installé de paquet comprenant un binaire ou un répertoire "apple2" (j'ai trouvé deux binaires dans testing main : "apple2" et "xapple2" et je n'ai installé aucun des deux !!).
De même à grand coup de find, j'ai vérifié et constaté qu'il n'y avait pas de fichier "apple2" sur mon système de fichier !!
2*/ le processus était lancé par un user inactif depuis plusieurs heures, à savoir ma belle amie. Nous utilisons GDM pour avoir deux sessions X simultanées (elle est sur tty7 et moi sur tty8) et elle s'était logguée sous gnome avec comme seule appli lancée "au moment des faits", mozilla.
Je suis clairement inquiet : je pensais avoir correctement configuré mon firewall mais je me demande si je ne suis pas rootkité !!
Pourtant, je lance 4 à 5 fois par semaine un "chkrootkit" après mise à jour des paquets de testing et je n'ai jamais rien trouvé de suspect !?
Merci de vos conseils !!
Yoj'
Forum Linux.debian/ubuntu processus intrus :
1
oct.
2004
# xscreensaver
Posté par liparis . Évalué à 5.
Je pense que voilà ta réponse. Arrête xscreensaver ou fait lui seulement couper l'écran.
# meuh
Posté par gc (site web personnel) . Évalué à 6.
[gc@meuh ~] perl -e 'exec { "/bin/sleep" } "apple2", 1000' &
[2] 2153
[gc@meuh ~] ps auxw | grep apple2
gc 2153 0.0 0.0 1828 496 pts/565 S 15:03 0:00 apple2 1000
[gc@meuh /proc/2153] ls -l exe
lrwxrwxrwx 1 gc users 0 Oct 1 14:59 exe -> /bin/sleep*
Ensuite si tu veux savoir le processus qui l'a lancé, je ne sais pas comment/si on peut le trouver dans /proc mais par contre pstree pourra te le dire.
Je pense que la suggestion du screensaver comme l'a écrit un autre, me semble bien appropriée :)
[^] # Re: meuh
Posté par CoinKoin . Évalué à 2.
Exact. Pour avoir l'identite du programme qui s'execute, il faut regarder /proc/numero/exe.
Ensuite si tu veux savoir le processus qui l'a lancé, je ne sais pas comment/si on peut le trouver dans /proc
On peut le savoir, en regardant /proc/numero/stat. Cela dit, la lecture de ce fichier n'est pas simple (voir man proc), et "ps faux" (ou pstree, je ne connais pas) est autrement plus simple a interpreter.
[^] # Re: meuh
Posté par fred point . Évalué à 1.
Et pour avoir plein d'autres trucs interessant, voire marrant :)
- le lien symbolique vers le binaire exe
- les fichiers ouverts (les descripteur de fichiers pour les puristes => fd) <= c'est ça qui est marrant, je vous laisse découvrir indice: tout est fichier sous unix, les pipes et autres redirections sont t'es amis
- la mémoire du processus
- la ligne de commande
etc...
[^] # fatigue dodo dormir
Posté par fred point . Évalué à 2.
[^] # Re: fatigue dodo dormir
Posté par CoinKoin . Évalué à 2.
Cela dit, t'as bien raison, c'est assez interessant :-) . Et marrant. Et parfois tres utile.
# Vous êtes mes Héros !!
Posté par yojik77 . Évalué à 10.
Au vu des faits énoncé, il ne fait aucun doute que votre analyse est la bonne : elle correspond bien à la situation (session X inactive de longue durée et disparition du processus immédiate une fois basculé sur ladite session X ) !!
Grand merci donc, c'était une frayeur de benêt mais pour le coup, je préfére être ridicule un petit coup et rassuré que digne et inquiet.
Je vous couvre de schmacks, gentils camarades !!
Yojik
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.