วันนี้เจอ process แปลกๆ รันอยู่ ซึ่งไปกิน cpu resource ครับ
/usr/sbin/ ครับ
เต็มๆ คือไฟล์ /usr/sbin/userntectl
โดยปกติแล้วไฟล์นี้จะไม่มีอยู่จริง แต่ที่ใช้งานจริงจะเป้นไฟล์ชื่อ /usr/sbin/usernetctl
แล้วใช้คำสั่ง lsof , strace , find , pstree ช่วยค้นหา
lsof -p pid
strace -f -p pid -o output_file
find / -mount -type f -exec sh -c 'grep -q "chronyd" "{}"' \; -print
pstree pid
ก็พบว่ามันมี process นี้พยายามสร้างอยู่จริง ซึ่งไปเขียนไว้ใน /proc
เช่น pid ที่มันรันเป็น 9899
cd /proc/9899
ก็จะเจอ
lrwxrwxrwx 1 root root 0 Mar 16 09:32 exe -> /usr/local/bin/.~Ede795d (deleted)
แต่ถ้าไป view ดูไฟล์นี้ก็จะไม่พบว่ามีอยู่จริง
ผมเลยไปสร้างไฟล์ไว้ให้มัน
cd /usr/local/bin
touch .~Ede795d
echo > /usr/local/bin/.~Ede795d
ปรากฏว่าเจอ ข้อมูลที่เป็น binary อยู่ในไฟล์นี้จริงๆ
ดังนั้นทำการ echo ให้มันเป้นข้อมูลว่าง ดังนี้
cd /usr/local/bin
echo > .~Ede795d
เสร็จแล้วทำการ kill process id : 9899 ออก
kill 9899
และลบไฟล์ /usr/sbin/userntectl
cd /usr/sbin
rm userntectl
ก็ปรากฏว่าไม่พบการรันขึ้นมาอีกครับ : )