Kirjoittaja Aihe: miten tappaa prosessi  (Luettu 1562 kertaa)

Mistofelees

  • Käyttäjä
  • Viestejä: 656
    • Profiili
miten tappaa prosessi
« : 06.02.24 - klo:17.52 »
Koneessa näyttäisi pyörivän ohjelma, jota en ymmärrä.
Häviääkö tuo itsekseen, vai pitäisikö huolestua ?
( Tuo komento "nc -l 9999" on annettu tunteja sitten juuri tuossa hakemistossa "/home/bin/Pikkukoneet/tcp/ESP_energia" )

# ps x|grep 9999
 390093 ?        S      0:00 nc -l 9999

# ps -eo pid,user,group,args,etime,lstart | grep '390093'
 390093 root     root     nc -l 9999                        10:11 Tue Feb  6 17:30:47 2024

# pwdx 390093
390093: /home/bin/Pikkukoneet/tcp/ESP_energia

# ls /proc/390093/cwd -l
lrwxrwxrwx 1 root root 0 Feb  6 17:35 /proc/390093/cwd -> /home/bin/Pikkukoneet/tcp/ESP_energia

# ls /proc/390093/exe -l
lrwxrwxrwx 1 root root 0 Feb  6 17:35 /proc/390093/exe -> /usr/bin/nc.openbsd

Olen käyttänyt tuota porttia 9999 aiemmin juuri komennolla "nc -l 9999"
Koittanut tappaa:
- Kone resetoitu
- fuser -k 9999/tcp
- kill -9 390093
- ajettu chkrootkit ja rkhunter

(Hävettää aina kysellä, mutta joskus vaan oma äly loppuu)

nm

  • Käyttäjä
  • Viestejä: 16424
    • Profiili
Vs: miten tappaa prosessi
« Vastaus #1 : 06.02.24 - klo:19.34 »
Olen käyttänyt tuota porttia 9999 aiemmin juuri komennolla "nc -l 9999"
Koittanut tappaa:
- Kone resetoitu

Oletko varma, että järjestelmä käynnistyi uudelleen? Mitä uptime kertoo? Uudelleenkäynnistyksen myötä ainakin prosessin PID muuttuu, vaikka jokin mekanismi käynnistäisi sen automaattisesti uudelleen.

- fuser -k 9999/tcp
- kill -9 390093

Ajoitko killin pääkäyttäjänä/sudolla? Meneekö komento läpi, eli ei listaa virheitä päätteeseen?

Mistofelees

  • Käyttäjä
  • Viestejä: 656
    • Profiili
Vs: miten tappaa prosessi
« Vastaus #2 : 06.02.24 - klo:20.59 »
Uptime antoi aivan oikean ajan rebootin jäljiltä

Kill on ajettu, kun olen kirjautunut 'sudo su' kyseiselle serverille.

nm

  • Käyttäjä
  • Viestejä: 16424
    • Profiili
Vs: miten tappaa prosessi
« Vastaus #3 : 06.02.24 - klo:22.05 »
Kokeile bootata vielä uudelleen ja katso, ilmaantuuko prosessi edelleen koneelle. Jos käynnistyy, se on asetettu käynnistymään todennäköisesti cronilla tai Systemd:n kautta. Tarkista crontab ja muistele mihin muualle olisit sen voinut itse laittaa.

Mistofelees

  • Käyttäjä
  • Viestejä: 656
    • Profiili
Vs: miten tappaa prosessi
« Vastaus #4 : 06.02.24 - klo:23.25 »
Kiitos.

Ongelma-prosessi katosi neljännen bootin jälkeen. Pitää silti pistää seurantaan.

cron (crontab) tuli tutkittua huolella. Siellä on iso kasa itsetehtyjä scriptejä, jotka tarkistin kaikki.
Tuo 9999 portti on käytössä ainoastaan sisäverkossa yhtä järjestelmää testatessa. Silloinkin tiukassa valvonnassa.

Systemd olisi ollut seuraavana vuorossa
Ja tietenkin nc:n poistaminen, testailu ja palautus. Ja taas testailu

En olisi tähän niin vakavasti muuten puuttunutkaan muuten, mutta fail2ban:ss näkyi jatkuvaa pommitusta Kiinasta. Ainahan sieltä tulee yrittäjiä, mutta tämä oli harvinaisen sitkeä. Bannista huolimatta hyökkäys jatkui kolmatta vuorokautta. Fail2banin olen säätänyt aika tiukaksi.
Lisäksi serveri tuntui hitaalta. Tämä kuitenkin paljastui reitittimen viaksi.
« Viimeksi muokattu: 06.02.24 - klo:23.28 kirjoittanut Mistofelees »