有问题的盒子是 RHEL/CentOS 5.5 x86_64。它已经运行了 80 多天。
服务器上有一个自定义的监视脚本,它执行各种任务,并且这个特定脚本接受一些参数。当我的某个用户使用适当的参数运行该脚本时,它会执行它应该执行的操作。但是,我们发现有时我们会发现像这样的机器,其中的脚本会自动运行,并且带有不同的参数。
问题是:根据 ps 和其他研究,我发现它于今天凌晨 4:02 启动。进程的 pid 在 8000 范围内,父进程为 1 或 init。
由于盒子还没有重新启动,我怎样才能找出这个脚本的调用者以及为什么 init 是它的父级?
答案1
看一下/proc/PID/loginuid。这应该会告诉您哪个用户启动了脚本,即使他们使用了su or sudo。从 /etc/init.d/ 脚本启动的大多数服务的 PPID 为 1。