我在 Win7 Virtualbox 上运行 Slackware Linux。当我输入命令时:
ps axu | grep bash
我得到了两个像这样的 bash 实例:
根 1052...-bash
根 1053...-bash
此外,当我发出users
命令时,我也得到了两个登录的用户(root root
)
- 为什么有两个 root 用户登录,而我没有(明确地)记录除系统启动后的标准登录之外的任何其他用户
- 如何诊断额外登录的 root 用户来自哪里以及如何注销他?
答案1
系统进程(例如,以 cron 作业启动)可以显示为由 root 运行的 bash 进程。这并不意味着用户已登录。使用ps -eaf | grep bash
来获取启动它们的完整命令行。这将为您提供有关其来源的线索。
答案2
确定这些攻击来自哪里的方法之一是
pstree 1
并检查谁是父母。对于我执行此操作的终端,输出的相关部分是
├─xfce4-terminal─┬─3*[bash]
│ ├─bash───tail
│ ├─bash───pstree
│ ├─gnome-pty-helpe
│ ├─{gdbus}
│ └─{gmain}