[root@home ~]# ps au | grep httpd
1014 9701 0.0 0.2 281620 3124 pts/24 Sl+ 18:41 0:00 ./bin/httpd -X
root 9742 0.0 0.0 3084 720 pts/22 R+ 18:45 0:00 grep httpd
顺便问一下,Sl+和是什么R+意思?1014 是黑客吗?它为什么在我的系统上?它有什么权限?它会破坏我的系统,或者造成任何伤害吗?
@Peter Westlake cat /etc/passwd | grep 1014 hugemeow:x:1014:1014::/home/hugemeow:/bin/bash 问题是为什么 ps au 不显示名称?但显示其编号?
答案1
每个用户都有一个数字 ID 和一个名称。这可能是在安装 httpd 服务器时创建的帐户。您是否尝试过通过 grep 命令查找它?
grep 1014 /etc/passwd
答案2
Sl+是R+进程的状态,它意味着以下内容
R- 正在运行或可运行(在运行队列中)
S- 可中断睡眠(等待事件完成)
l- 是多线程的(使用 CLONE_THREAD,就像 NPTL pthreads 一样)
+- 位于前台进程组中。
如果您自己没有启动此过程,则看起来好像有人启动了它并且它正在某处前台运行。
1014 是系统上的 uid。
如果这是您未知的 uid,您绝对应该开始检查您的系统是否被黑客入侵。查看chkrootkit并rkhunter检查系统上是否存在可疑文件。
答案3
要么您有一个名为“1014”的用户,要么 /etc/passwd 中 uid 为 1014 的用户的条目已被删除。请务必检查 /etc/passwd - 但我怀疑后一种情况更有可能。
任何监听保留端口的服务器进程都必须由 root 启动 - 然后它会降级为其他用户。如果您运行“ps -ef”,那么您将能够获取您关心的内容的父进程。如果它是由 root 启动的,那么您可以开始更加担心。从文件中/proc/<pid>/您将能够看到各种内容 - 例如“./bin/httpd”的确切位置。
apache 的 -X 选项(如果是 Apache)运行单个工作程序,并且该进程不会守护进程(保持与启动它的 pty 关联)。如果/proc/<pid>/exe没有指向随您的安装提供的文件,那么您可以通过对可执行文件运行“strings”来了解更多信息。
如果它是恶意的,并且有人通过删除密码条目来掩盖他们的踪迹,那么他们可能已经删除了包含 Web 服务器的文件/目录(但文件/目录的实际内容仍然隐藏在磁盘上,而它们仍在使用中(请参阅/proc/<pid>/fd)
您还应该能够从 netstat -na 中看到它正在监听哪个端口(因此您可以尝试使用浏览器指向它)。
如果你有理由怀疑它是恶意的,那么看看我该如何处理受到感染的服务器?
答案4
可能值得搜索文件系统来查看该用户拥有哪些文件(如果有)。
查找 / -用户 1014 -类型 f | xargs ls -l