我注意到一个系统用户不断通过 FTP 服务器下载单个 JPEG 文件(每隔几秒钟)。源 IP 实际上分配给服务器本身。我尝试使用 lsof、ps、top 等工具。我还检查了 cron 作业,但没有成功。您能否建议我如何追踪此过程或脚本的来源?请注意,此服务器正在运行 cPanel。
我可以使用 strace 但是进程运行的时间不够长,无法捕获它。
# tail /var/log/xferlog
Wed Jan 23 14:21:26 2013 0 xxx.xxx.xxx.xxx 14558 /path_to_dir/file.jpg b _ o r user ftp 1 * c
Wed Jan 23 14:21:26 2013 0 xxx.xxx.xxx.xxx 14558 /path_to_dir/file.jpg b _ o r user ftp 1 * c
Wed Jan 23 14:21:27 2013 0 xxx.xxx.xxx.xxx 14558 /path_to_dir/file.jpg b _ o r user ftp 1 * c
答案1
您可以暂时用更大的文件或 FIFO(参见mkfifo命令)替换该文件,然后再次查找该过程。
答案2
您可以使用-f选项strace来跟踪子进程。获取可疑进程的 pid,然后执行strace -f -p pid -o /tmp/strace.log。您应该搜索“connect”或“RETR”关键字。