rkhunter正在发出警告/dev/shm/mono.*。我在网络中找不到与 rkhunter 警告相关的该文件的任何参考。
[12:38:29] Checking /dev for suspicious file types [ Warning ]
[12:38:29] Warning: Suspicious file types found in /dev:
[12:38:29] /dev/shm/mono.1254: data
这是误报吗?
输出df -h
Filesystem Size Used Avail Use% Mounted on
udev 7.8G 0 7.8G 0% /dev
tmpfs 1.6G 2.1M 1.6G 1% /run
/dev/sdb2 916G 357G 513G 41% /
tmpfs 7.8G 121M 7.7G 2% /dev/shm
tmpfs 5.0M 4.0K 5.0M 1% /run/lock
tmpfs 7.8G 0 7.8G 0% /sys/fs/cgroup
/dev/sdb1 511M 4.5M 507M 1% /boot/efi
/dev/sda1 1.8T 87G 1.7T 5% /mnt/HDD_Toshiba
tmpfs 1.6G 0 1.6G 0% /run/user/0
SynologyNas.local:/volumeUSB2/usbshare2-1 2.3T 1.6T 683G 71% /mnt/synologyDrive
tmpfs 1.6G 20K 1.6G 1% /run/user/121
tmpfs 1.6G 48K 1.6G 1% /run/user/1000
答案1
该文件由 XSP - Mono ASP.NET Web 服务器使用。
获取进程ID:
lsof | grep /dev/shm/mono.1272 mono 1272 www-data mem REG 0,28 4096 2 /dev/shm/mono.1272 mono 1272 1296 SGen\x20w www-data mem REG 0,28 4096 2 /dev/shm/mono.1272 mono 1272 1352 Finalizer www-data mem REG 0,28 4096 2 /dev/shm/mono.1272 mono 1272 1496 mono www-data mem REG 0,28 4096 2 /dev/shm/mono.1272 mono 1272 1497 Thread www-data mem REG 0,28 4096 2 /dev/shm/mono.1272本例中的进程 ID 为 1272。
进程输出命令行:
cat /proc/1272/cmdline | sed -e "s/\x00/ /g"; echo /usr/bin/mono /usr/lib/mono/4.5/xsp4.exe --port 8084 --address 0.0.0.0 --appconfigdir /etc/xsp4 --nonstop
点击这里了解更多信息。