Ubuntu Suomen keskustelualueet

Muut alueet => Yleistä keskustelua => Aiheen aloitti: Mistofelees - 06.02.24 - klo:17.52

Otsikko: miten tappaa prosessi
Kirjoitti: Mistofelees - 06.02.24 - klo:17.52

Koneessa näyttäisi pyörivän ohjelma, jota en ymmärrä.
Häviääkö tuo itsekseen, vai pitäisikö huolestua ?
( Tuo komento "nc -l 9999" on annettu tunteja sitten juuri tuossa hakemistossa "/home/bin/Pikkukoneet/tcp/ESP_energia" )

# ps x|grep 9999
 390093 ?        S      0:00 nc -l 9999

# ps -eo pid,user,group,args,etime,lstart | grep '390093'
 390093 root     root     nc -l 9999                        10:11 Tue Feb  6 17:30:47 2024

# pwdx 390093
390093: /home/bin/Pikkukoneet/tcp/ESP_energia

# ls /proc/390093/cwd -l
lrwxrwxrwx 1 root root 0 Feb  6 17:35 /proc/390093/cwd -> /home/bin/Pikkukoneet/tcp/ESP_energia

# ls /proc/390093/exe -l
lrwxrwxrwx 1 root root 0 Feb  6 17:35 /proc/390093/exe -> /usr/bin/nc.openbsd

Olen käyttänyt tuota porttia 9999 aiemmin juuri komennolla "nc -l 9999"
Koittanut tappaa:
- Kone resetoitu
- fuser -k 9999/tcp
- kill -9 390093
- ajettu chkrootkit ja rkhunter

(Hävettää aina kysellä, mutta joskus vaan oma äly loppuu)

Otsikko: Vs: miten tappaa prosessi
Kirjoitti: nm - 06.02.24 - klo:19.34

Lainaus käyttäjältä: Mistofelees - 06.02.24 - klo:17.52

Olen käyttänyt tuota porttia 9999 aiemmin juuri komennolla "nc -l 9999"
Koittanut tappaa:
- Kone resetoitu

Oletko varma, että järjestelmä käynnistyi uudelleen? Mitä uptime kertoo? Uudelleenkäynnistyksen myötä ainakin prosessin PID muuttuu, vaikka jokin mekanismi käynnistäisi sen automaattisesti uudelleen.

Lainaus käyttäjältä: Mistofelees - 06.02.24 - klo:17.52

- fuser -k 9999/tcp
- kill -9 390093

Ajoitko killin pääkäyttäjänä/sudolla? Meneekö komento läpi, eli ei listaa virheitä päätteeseen?

Otsikko: Vs: miten tappaa prosessi
Kirjoitti: Mistofelees - 06.02.24 - klo:20.59

Uptime antoi aivan oikean ajan rebootin jäljiltä

Kill on ajettu, kun olen kirjautunut 'sudo su' kyseiselle serverille.

Otsikko: Vs: miten tappaa prosessi
Kirjoitti: nm - 06.02.24 - klo:22.05

Kokeile bootata vielä uudelleen ja katso, ilmaantuuko prosessi edelleen koneelle. Jos käynnistyy, se on asetettu käynnistymään todennäköisesti cronilla tai Systemd:n kautta. Tarkista crontab ja muistele mihin muualle olisit sen voinut itse laittaa.

Otsikko: Vs: miten tappaa prosessi
Kirjoitti: Mistofelees - 06.02.24 - klo:23.25

Kiitos.

Ongelma-prosessi katosi neljännen bootin jälkeen. Pitää silti pistää seurantaan.

cron (crontab) tuli tutkittua huolella. Siellä on iso kasa itsetehtyjä scriptejä, jotka tarkistin kaikki.
Tuo 9999 portti on käytössä ainoastaan sisäverkossa yhtä järjestelmää testatessa. Silloinkin tiukassa valvonnassa.

Systemd olisi ollut seuraavana vuorossa
Ja tietenkin nc:n poistaminen, testailu ja palautus. Ja taas testailu

En olisi tähän niin vakavasti muuten puuttunutkaan muuten, mutta fail2ban:ss näkyi jatkuvaa pommitusta Kiinasta. Ainahan sieltä tulee yrittäjiä, mutta tämä oli harvinaisen sitkeä. Bannista huolimatta hyökkäys jatkui kolmatta vuorokautta. Fail2banin olen säätänyt aika tiukaksi.
Lisäksi serveri tuntui hitaalta. Tämä kuitenkin paljastui reitittimen viaksi.