首先是简短的故事:我需要迁移一台服务器(应用程序、配置等),但我不知道里面有什么,没有文档,负责人只是放弃了,没有留下任何信息,所以它就像是一种黑匣子或黑洞。我的任务是将该服务器中的内容移动到新实例,并了解其中的工作原理。问题是有一些后台进程正在运行(请参阅下面的 ps -ax 输出):
ps -ax
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
PID TTY STAT TIME COMMAND
...
841 ? Ss 13:42 python /usr/local/bin/pdoInstaller/
848 ? Ss 0:04 php /usr/local/bin/pdoneVendorBroker/vendorBroker.php
950 ? Ssl 13:00 /usr/bin/mongod --config /etc/mongodb.conf
013 ? S 0:00 CRON
1014 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
1015 ? Ssl 1:02 /usr/sbin/mysqld
1016 ? S 0:02 /usr/bin/php rss_article_loader.php
1065 ? Ssl 0:29 /usr/sbin/nova-agent -q -p /var/run/nova-agent.pid -o /var/log/nova-agent.log -l info /usr/share/nova-agent/nova-agent.py
1219 ? S 0:01 /usr/lib/erlang/erts-5.10.3/bin/epmd -daemon
1222 ? S 0:00 CRON
1223 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
1224 ? S 0:01 /usr/bin/php rss_article_loader.php
1506 ? S 0:00 /bin/sh /usr/sbin/rabbitmq-server
1517 ? Sl 15:59 /usr/lib/erlang/erts-5.10.3/bin/beam.smp -W w -K true -A30 -P 1048576 -- -root /usr/lib/erlang -progname erl -- -home /var/lib/rabbitmq -- -noshell -noinput -sname rabbit@pdone-db-qa -boot /v
1728 ? S 0:00 CRON
1729 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
1730 ? S 0:00 /usr/bin/php rss_article_loader.php
3137 ? Ss 0:04 php /usr/local/bin/shareEventHandler/shareEventHandler.php
3165 ? Ss 0:04 php /usr/local/bin/repToolBroker/repToolBroker.php
3180 ? Ss 0:04 php /usr/local/bin/pdoneLoginProctor/loginProctor.php
3201 ? Ss 0:04 php /usr/local/bin/messageBroker/messageBroker.php
3230 ? Ss 0:04 php /usr/local/bin/emailBroker/emailBroker.php
3250 ? Ss 0:04 php /usr/local/bin/edetailBroker/edetailBroker.php
3270 ? Ss 0:04 php /usr/local/bin/cmeBroker/cmeBroker.php
3921 ? S 0:00 CRON
3922 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
3923 ? S 0:03 /usr/bin/php rss_article_loader.php
4395 ? S 0:00 CRON
4396 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
4397 ? S 0:02 /usr/bin/php rss_article_loader.php
4498 ? S 0:00 CRON
4499 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
4500 ? S 0:01 /usr/bin/php rss_article_loader.php
5781 ? S 0:00 CRON
5782 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
5783 ? S 0:04 /usr/bin/php rss_article_loader.php
7242 ? S 0:00 CRON
7243 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
7244 ? S 0:03 /usr/bin/php rss_article_loader.php
7575 ? S 0:00 CRON
7576 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
7577 ? S 0:02 /usr/bin/php rss_article_loader.php
7705 ? S 0:00 CRON
7706 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
7707 ? S 0:01 /usr/bin/php rss_article_loader.php
9368 ? S 0:00 CRON
9369 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
9370 ? S 0:04 /usr/bin/php rss_article_loader.php
10450 ? S 0:00 CRON
10451 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
10452 ? S 0:03 /usr/bin/php rss_article_loader.php
10771 ? S 0:00 CRON
10772 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
10773 ? S 0:02 /usr/bin/php rss_article_loader.php
10884 ? S 0:00 CRON
10885 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
10886 ? S 0:01 /usr/bin/php rss_article_loader.php
12947 ? S 0:00 CRON
12949 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
12951 ? S 0:04 /usr/bin/php rss_article_loader.php
13573 ? S 0:00 CRON
13574 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
13575 ? S 0:03 /usr/bin/php rss_article_loader.php
13963 ? S 0:00 CRON
13964 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
13965 ? S 0:01 /usr/bin/php rss_article_loader.php
14157 ? S 0:00 CRON
14158 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
14159 ? S 0:00 /usr/bin/php rss_article_loader.php
16083 ? S 0:00 CRON
16084 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
16085 ? S 0:04 /usr/bin/php rss_article_loader.php
17089 ? S 0:00 CRON
17090 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
17091 ? S 0:03 /usr/bin/php rss_article_loader.php
17103 ? S 0:00 CRON
17104 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
17105 ? S 0:01 /usr/bin/php rss_article_loader.php
17553 ? S 0:00 CRON
17554 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
17555 ? S 0:00 /usr/bin/php rss_article_loader.php
19227 ? S 0:00 CRON
19228 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
19229 ? S 0:04 /usr/bin/php rss_article_loader.php
20318 ? S 0:00 CRON
20319 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
20320 ? S 0:01 /usr/bin/php rss_article_loader.php
20375 ? S 0:00 CRON
20376 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
20377 ? S 0:02 /usr/bin/php rss_article_loader.php
20722 ? S 0:00 CRON
20723 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
20724 ? S 0:00 /usr/bin/php rss_article_loader.php
22324 ? S 0:00 CRON
22325 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
22326 ? S 0:03 /usr/bin/php rss_article_loader.php
23549 ? S 0:00 CRON
23550 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
23551 ? S 0:01 /usr/bin/php rss_article_loader.php
23643 ? S 0:00 CRON
23644 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
23645 ? S 0:02 /usr/bin/php rss_article_loader.php
23945 ? S 0:00 CRON
23946 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
23947 ? S 0:00 /usr/bin/php rss_article_loader.php
25875 ? S 0:00 CRON
25876 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
25877 ? S 0:03 /usr/bin/php rss_article_loader.php
26840 ? S 0:00 CRON
26841 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
26842 ? S 0:02 /usr/bin/php rss_article_loader.php
27223 ? S 0:00 CRON
27225 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
27227 ? S 0:01 /usr/bin/php rss_article_loader.php
27538 ? S 0:00 CRON
27539 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
27540 ? S 0:00 /usr/bin/php rss_article_loader.php
29374 ? S 0:00 CRON
29375 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
29376 ? S 0:03 /usr/bin/php rss_article_loader.php
30232 ? S 0:00 CRON
30233 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
30234 ? S 0:02 /usr/bin/php rss_article_loader.php
30444 ? S 0:00 CRON
30445 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
30446 ? S 0:01 /usr/bin/php rss_article_loader.php
30682 ? S 0:00 /usr/sbin/apache2 -k start
30683 ? S 0:00 /usr/sbin/apache2 -k start
30848 ? S 0:00 CRON
30849 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
30850 ? S 0:00 /usr/bin/php rss_article_loader.php
32692 ? S 0:00 CRON
32693 ? Ss 0:00 /bin/sh -c cd /var/www/pdone/ipad_v2/rpc; /usr/bin/php rss_article_loader.php
32694 ? S 0:03 /usr/bin/php rss_article_loader.php
有些是通过 CRON 运行的,我已经确定了那些,这是简单的路径,但其他的像由 PHP 启动的那些,例如:
3137 ? Ss 0:04 php /usr/local/bin/shareEventHandler/shareEventHandler.php
3165 ? Ss 0:04 php /usr/local/bin/repToolBroker/repToolBroker.php
3180 ? Ss 0:04 php /usr/local/bin/pdoneLoginProctor/loginProctor.php
我不知道这些脚本是从哪里来的,我需要知道它们在哪里以及如何启动,以便在新服务器上进行设置。有人能给出一些解决此问题的想法吗?目前我唯一知道的是 RabbitMQ 使用该脚本传递消息并执行某些任务。我需要确定后台进程在哪里以及如何启动以及它们来自哪里。原始服务器是 Ubuntu,新服务器是 CentOS,这不是问题,但仅供参考,有人可以给我一些帮助或想法吗?
更新
我在目录中找到了一个cmeBroker.conf文件/usr/local/bin/cmeBroker,其余的依此类推,这是该文件的内容:
description "PDone cmeBroker"
start on runlevel [234]
stop on runlevel [0156]
respawn
exec php /usr/local/bin/cmeBroker/cmeBroker.php
post-start script
PID=`status cmeBroker | egrep -oi '([0-9]+)$' | head -n1`
echo $PID > /var/run/cmeBroker.pid
end script
post-stop script
rm -f /var/run/cmeBroker.pid
end script
所以现在这是一条线索,但是谁负责启动或读取这个文件?
更新 2
根据建议@伊万我已在 Ubuntu 服务器上安装auditd并运行以下命令:
auditctl -w /usr/local/bin/repToolBroker/repToolBroker.php -p rwxa
我应该重新启动服务器还是只是等待并查找使用:
ausearch -f /usr/local/bin/repToolBroker/repToolBroker.php
谁访问或更改了该文件?这可以告诉我谁负责启动这些文件并在后台执行它们吗?
更新 3
使用@julian-sivertsen建议在文件系统中搜索与文件名匹配的文本字符串,感谢从这里获得的另一个帮助,我运行以下命令:
sudo grep -r 'shareEventHandler.php\|repToolBroker.php\|loginProctor.php\|messageBroker.php\|emailBroker.php\|edetailBroker.php\|cmeBroker.php' .
这样我就能找到文件的调用位置。这是上述命令的输出:
./init/emailBroker.conf:exec php /usr/local/bin/emailBroker/emailBroker.php
./init/cmeBroker.conf:exec php /usr/local/bin/cmeBroker/cmeBroker.php
./init/pdoneLoginProctor.conf:exec php /usr/local/bin/pdoneLoginProctor/loginProctor.php
./init/edetailBroker.conf:exec php /usr/local/bin/edetailBroker/edetailBroker.php
./init/messageBroker.conf:exec php /usr/local/bin/messageBroker/messageBroker.php
grep: ./init/veevaBroker.conf: No such file or directory
./init/shareEventHandler.conf:exec php /usr/local/bin/shareEventHandler/shareEventHandler.php
./init/repToolBroker.conf:exec php /usr/local/bin/repToolBroker/repToolBroker.php
该.conf文件是我之前找到的文件的符号链接,这就是所有事情发生的地方。现在我还剩一个问题,这个init文件夹是干什么用的?这是我第一次处理这个问题,我很想知道并学习。
任何?
答案1
首先使用命令(例如)调查父/子进程之间的关系ps -AF --forest。父进程 ID (PPID) 要么是生成相关进程的进程,要么是 1(如果它分叉或成为孤立进程)。--forest切换到 PS 会显示此关系的图形表示。
守护进程通常由 /etc/rc5.d/ 中的脚本启动,请尝试在那里查找。还请查看 cron 任务的文件。这些文件的位置和设置因 Linux 发行版而异,有关详细信息,请参阅发行版文档。对于 upstart init 系统,可以使用命令列出所有守护进程service --status-all。
如果结果为空,您可以尝试在文件系统中搜索与用于启动进程的命令相匹配的文本字符串。例如,grep "rss_article_loader\\.php" -r /usr /etc将显示 /usr 和 /etc 中包含字符串“rss_article_loader.php”的所有文件。请注意,grep 使用正则表达式而不是简单的文本字符串进行搜索。