Author Topic: เจอ process แปลกๆ รันอยู่ สามารถจัดการได้อย่างไร แก้ไขยังไง  (Read 7288 times)

golfreeze

  • Administrator
  • Hero Member
  • *****
  • Posts: 2145
    • View Profile
    • นั่งสมาธิ สติปัฏฐานสี่ พาเที่ยววัด แนะนำวัด แจกcd ธรรมะฟรี
    • Email
วันนี้เจอ process แปลกๆ รันอยู่ ซึ่งไปกิน cpu resource ครับ

/usr/sbin/ ครับ
เต็มๆ คือไฟล์ /usr/sbin/userntectl
โดยปกติแล้วไฟล์นี้จะไม่มีอยู่จริง แต่ที่ใช้งานจริงจะเป้นไฟล์ชื่อ /usr/sbin/usernetctl

แล้วใช้คำสั่ง lsof , strace , find , pstree ช่วยค้นหา
lsof -p pid
strace -f -p  pid -o output_file
find / -mount -type f -exec sh -c 'grep -q "chronyd" "{}"' \; -print
pstree pid

ก็พบว่ามันมี process นี้พยายามสร้างอยู่จริง ซึ่งไปเขียนไว้ใน /proc
เช่น pid ที่มันรันเป็น 9899
cd /proc/9899
ก็จะเจอ
lrwxrwxrwx   1 root root 0 Mar 16 09:32 exe -> /usr/local/bin/.~Ede795d (deleted)

แต่ถ้าไป view ดูไฟล์นี้ก็จะไม่พบว่ามีอยู่จริง
ผมเลยไปสร้างไฟล์ไว้ให้มัน
cd /usr/local/bin
touch .~Ede795d
echo > /usr/local/bin/.~Ede795d
ปรากฏว่าเจอ ข้อมูลที่เป็น binary อยู่ในไฟล์นี้จริงๆ
ดังนั้นทำการ echo ให้มันเป้นข้อมูลว่าง ดังนี้
cd /usr/local/bin
echo > .~Ede795d
เสร็จแล้วทำการ kill process id : 9899 ออก
kill 9899
และลบไฟล์ /usr/sbin/userntectl
cd /usr/sbin
rm userntectl

ก็ปรากฏว่าไม่พบการรันขึ้นมาอีกครับ : )
« Last Edit: มีนาคม 25, 2018, 10:54:18 AM by golfreeze »