Это пид увеличивается все время ...
Я пишу программу для отображения всей информации о процессе, этот процесс действительно беспокоит меня.
О, китайские слова sleeping... can't use , can't use
2 ответа
3
Технически, это не единственный процесс, чей pid меняется, а скорее старый процесс завершается, а новый запускается.
Почему бы не попытаться найти идентификатор родительского процесса, например, используя ps -o pid,ppid,cmd -U root (он будет во втором столбце). Возможно, есть родительский процесс, который запускает все остальные процессы.
Кажется странным, что в первом столбце нет названия этого процесса. В каталоге /proc может быть больше ключей, например, ls -l /proc/<pid>/exe и cat /proc/<pid>/cmdline . Также попробуйте различные параметры команд ps , например, ps -o pid,comm и ps -o pid,args выведет различную информацию. (Добавьте к этим командам либо -U root либо -p <pid> .)
ОБНОВИТЬ
Если у процесса нет имени, возможно, pgrep '^$' отобразит его, тогда вы можете делать с ним все что угодно, например
pgrep '^$' | while read pid; do
ps -f $pid
ls -l /proc/$pid/cmdline
netstat -tlp | grep '\<'$pid'\>'
echo kill $pid # remove the echo after testing
done
Если pgrep '^$' ничего не перечисляет, то, возможно, обычный ps -o comm= -U root | od -c чтобы понять, что такое имя процесса, поэтому вы можете использовать pgrep чтобы найти только процессы с этим именем.
Если это также не помогает , посмотрите на auditctl .
Или вы пишете скрипт, который запускает ps дважды и убивает все процессы, которые появляются только в выходных данных второго запуска.
Кроме того, если это руткит, как предлагали другие, было бы неплохо отключить этот компьютер от Интернета во время расследования. Таким образом, он не может отправлять какие-либо ваши личные данные другим людям, или рассылать спам, или что-либо еще в этом роде.
2
Я предполагаю, что этот процесс является частью какого-то руткита. Он нарочно делает fork а старый очень часто умирает, чтобы его было сложно определить и отправить сигнал типа SIGSTOP или SIGKILL . Тот факт, что в нем отсутствует имя, также указывает на то, что это так.