Кто такой 1014? В моей системе нет пользователя с именем 1014, так почему этот процесс httpd выполняется как 1014?

Question

Кто такой 1014? В моей системе нет пользователя с именем 1014, так почему этот процесс httpd выполняется как 1014?

[root@home ~]# ps au | grep httpd
1014      9701  0.0  0.2 281620  3124 pts/24   Sl+  18:41   0:00 ./bin/httpd -X
root      9742  0.0  0.0   3084   720 pts/22   R+   18:45   0:00 grep httpd

Кстати, что делать Sl+ а также R+ имею в виду? 1014 хакер? Почему это в моей системе? какая привилегия у него есть? Может ли это разрушить мою систему или причинить какой-либо вред?

@ Питер Вестлейк кошка / etc /passwd | grep 1014 largemeow:x:1014:1014::/home/ greatmeow: / bin / bash, проблема в том, почему ps au не показывает имя? но показать его номер?

4

centos security httpd ps

Источник

giantforest 16 авг '12 в 10:50

4 ответа

Другие вопросы по тегам centos security httpd ps

Peter Westlake 16 авг '12 в 10:55 2012-08-16 10:55 · Answer 1 · 2012-08-16 10:55

У каждого пользователя есть числовой идентификатор, а также имя. Вероятно, это учетная запись, созданная при установке сервера httpd. Вы пробовали это делать?

grep 1014 /etc/passwd

3

Источник

Peter Westlake 16 авг '12 в 10:55

pkhamre 16 авг '12 в 11:00 2012-08-16 11:00 · Answer 2 · 2012-08-16 11:00

Sl+ а также R+ это состояние процессов, и это означает следующее

R - работает или работает (в очереди выполнения)
S - прерывистый сон (ожидание завершения события)
l - многопоточный (с использованием CLONE_THREAD, как это делают NPTL pthreads)
+ - находится на переднем плане процесса группы.

Если вы не запустили этот процесс самостоятельно, похоже, кто-то запустил его и где-то работает на переднем плане.

1014 - это идентификатор пользователя в системе.

Если это неизвестный вам идентификатор, вам определенно следует начать проверять возможности взлома вашей системы. Смотреть в chkrootkit а также rkhunter проверить наличие подозрительных файлов в вашей системе.

symcbean 16 авг '12 в 11:42 2012-08-16 11:42 · Answer 3 · 2012-08-16 11:42

Либо у вас есть пользователь с именем '1014', либо запись в /etc/passwd для пользователя с uid 1014 была удалена. Обязательно проверьте в /etc/passwd - но я подозреваю, что последний сценарий более вероятен.

Любой процесс сервера, прослушивающий зарезервированный порт, должен быть запущен пользователем root, а затем понижен до другого пользователя. Если вы запустите 'ps -ef', вы сможете получить родительский процесс для того, что вас беспокоит. Если он был запущен пользователем root, вы можете начать беспокоиться. От /proc/<pid>/ файлы, которые вы сможете увидеть всевозможные вещи - например, именно там, где находится "./bin/httpd".

Опция -X для apache (если это Apache) запускает одного работника, и процесс не демонизируется (остается связанным с pty, с которого он был запущен). Если /proc/<pid>/exe не указывает на файл, поставляемый с вашим isntallation, тогда вы можете узнать больше об этом, запустив 'strings' для исполняемого файла.

Если это злонамеренно, и кто-то скрывает свои следы, удаляя запись passwd, то он, возможно, удалил файл / каталог, содержащий веб-сервер (но фактическое содержимое файла / каталога остается на диске скрытым, в то время как они все еще остаются в использовании (см. /proc/<pid>/fd)

Вы также должны быть в состоянии видеть, какой порт он слушает, из netstat -na (следовательно, вы можете попробовать указать на него браузер).

Если у вас есть основания подозревать, что это вредоносное ПО, обратитесь к разделу "Как бороться с взломанным сервером"?

Gareth Williams 16 авг '12 в 19:13 2012-08-16 19:13 · Answer 4 · 2012-08-16 19:13

Возможно, стоит поискать в файловой системе, чтобы увидеть, какие файлы принадлежат этому пользователю.

найти / -пользователь 1014 -типа f | xargs ls -l

1

Источник

Gareth Williams 16 авг '12 в 19:13