可疑进程“find”在用户 nobody 下运行

可疑进程“find”在用户 nobody 下运行

在启动时我注意到我的机器负载很重。

打开一个终端,top发现一个find以用户身份运行命令的进程nobody使用了​​我 90% 以上的内存。

我立即把它杀了。

我的机器被入侵了吗?我该如何判断?

这可能和这个 cron 作业有关吗?

$ grep nobody /etc/cron.daily/*

/etc/cron.daily/locate:LOCALUSER="nobody"

答案1

是的。locate 命令需要系统上所有非临时文件的列表,而该列表由 updatedb 构建。updatedb 会跳过在其配置中指定为临时的目录。您是否碰巧在特殊位置有从未清理过的临时文件?例如,Oracle 会将临时文件留在整个文件系统中,以此自娱自乐。如果应跳过特定目录,请将它们添加到 updatedb 的配置 (updatedb.conf)。

另一个问题可能是“文件系统循环”,当由 updatedb 启动的查找时,会进入递归循环。

如果您的内存使用是文件系统缓存,那么它不会损害您的系统,即使某些监控系统会告诉您系统负载过重。为什么您不应该使用所有内存,只要在必要时释放它即可。

相关内容