Golfreeze.packetlove.com: Life style of Golfreeze Canon400D Family kammtan.com Jazz Freebsd Unix Linux System Admin guitar Music

All about unix linux freebsd and FAQ for Packetlove.com Web hosting , Mail hosting , VoIP + IP PBX server => All Security via cyber space relate golfreeze task. => Topic started by: golfreeze on มีนาคม 16, 2018, 12:34:17 PM

Title: เจอ process แปลกๆ รันอยู่ สามารถจัดการได้อย่างไร แก้ไขยังไง
Post by: golfreeze on มีนาคม 16, 2018, 12:34:17 PM
วันนี้เจอ process แปลกๆ รันอยู่ ซึ่งไปกิน cpu resource ครับ

/usr/sbin/ ครับ
เต็มๆ คือไฟล์ /usr/sbin/userntectl
โดยปกติแล้วไฟล์นี้จะไม่มีอยู่จริง แต่ที่ใช้งานจริงจะเป้นไฟล์ชื่อ /usr/sbin/usernetctl

แล้วใช้คำสั่ง lsof , strace , find , pstree ช่วยค้นหา
lsof -p pid
strace -f -p  pid -o output_file
find / -mount -type f -exec sh -c 'grep -q "chronyd" "{}"' \; -print
pstree pid

ก็พบว่ามันมี process นี้พยายามสร้างอยู่จริง ซึ่งไปเขียนไว้ใน /proc
เช่น pid ที่มันรันเป็น 9899
cd /proc/9899
ก็จะเจอ
lrwxrwxrwx   1 root root 0 Mar 16 09:32 exe -> /usr/local/bin/.~Ede795d (deleted)

แต่ถ้าไป view ดูไฟล์นี้ก็จะไม่พบว่ามีอยู่จริง
ผมเลยไปสร้างไฟล์ไว้ให้มัน
cd /usr/local/bin
touch .~Ede795d
echo > /usr/local/bin/.~Ede795d
ปรากฏว่าเจอ ข้อมูลที่เป็น binary อยู่ในไฟล์นี้จริงๆ
ดังนั้นทำการ echo ให้มันเป้นข้อมูลว่าง ดังนี้
cd /usr/local/bin
echo > .~Ede795d
เสร็จแล้วทำการ kill process id : 9899 ออก
kill 9899
และลบไฟล์ /usr/sbin/userntectl
cd /usr/sbin
rm userntectl

ก็ปรากฏว่าไม่พบการรันขึ้นมาอีกครับ : )