怎么会有这样的进程？

Awei · 发表于 2009-3-3 17:34:08

看图片，没有进程名，也不占内存的。是什么东西呀？

zhllg · 发表于 2009-3-3 18:25:58

可能是内核线程

SCys · 发表于 2009-3-3 19:25:47

ps -ef 看看,
如果还出现空的名的进程就看看是不是自己开发的软件(或是用的软件)出现崩溃(dmesg | tail -n 500).
如果都排除,建议你考虑下是否被植入木马一类的程序.

下面我自己的进程列表

UID PID PPID C STIME TTY TIME CMD
root 1 0 0 18:51 ? 00:00:00 init [3]
root 2 0 0 18:51 ? 00:00:00 [kthreadd]
root 3 2 0 18:51 ? 00:00:00 [migration/0]
root 4 2 0 18:51 ? 00:00:00 [ksoftirqd/0]
root 5 2 0 18:51 ? 00:00:00 [watchdog/0]
root 6 2 0 18:51 ? 00:00:00 [migration/1]
root 7 2 0 18:51 ? 00:00:00 [ksoftirqd/1]
root 8 2 0 18:51 ? 00:00:00 [watchdog/1]
root 9 2 0 18:51 ? 00:00:00 [cpuset]
root 10 2 0 18:51 ? 00:00:00 [events/0]
root 11 2 0 18:51 ? 00:00:00 [events/1]
root 12 2 0 18:51 ? 00:00:00 [work_on_cpu/0]
root 13 2 0 18:51 ? 00:00:00 [work_on_cpu/1]
root 14 2 0 18:51 ? 00:00:00 [khelper]
root 175 2 0 18:51 ? 00:00:00 [kblockd/0]
root 176 2 0 18:51 ? 00:00:00 [kblockd/1]
root 177 2 0 18:51 ? 00:00:00 [kacpid]
root 178 2 0 18:51 ? 00:00:00 [kacpi_notify]
root 257 2 0 18:51 ? 00:00:00 [cqueue]
root 264 2 0 18:51 ? 00:00:00 [ata/0]
root 265 2 0 18:51 ? 00:00:00 [ata/1]
root 266 2 0 18:51 ? 00:00:00 [ata_aux]
root 268 2 0 18:51 ? 00:00:00 [ksuspend_usbd]
root 273 2 0 18:51 ? 00:00:00 [khubd]
root 276 2 0 18:51 ? 00:00:00 [kseriod]
root 340 2 0 18:51 ? 00:00:00 [pdflush]
root 341 2 0 18:51 ? 00:00:00 [pdflush]
root 342 2 0 18:51 ? 00:00:00 [kswapd0]
root 390 2 0 18:51 ? 00:00:00 [aio/0]
root 391 2 0 18:51 ? 00:00:00 [aio/1]
root 398 2 0 18:51 ? 00:00:00 [nfsiod]
root 404 2 0 18:51 ? 00:00:00 [jfsIO]
root 405 2 0 18:51 ? 00:00:00 [jfsCommit]
root 406 2 0 18:51 ? 00:00:00 [jfsCommit]
root 407 2 0 18:51 ? 00:00:00 [jfsSync]
root 599 2 0 18:51 ? 00:00:00 [iscsi_eh]
root 604 2 0 18:51 ? 00:00:00 [scsi_eh_0]
root 607 2 0 18:51 ? 00:00:00 [scsi_eh_1]
root 610 2 0 18:51 ? 00:00:00 [scsi_eh_2]
root 613 2 0 18:51 ? 00:00:00 [scsi_eh_3]
root 645 2 0 18:51 ? 00:00:00 [pccardd]
root 718 2 0 18:51 ? 00:00:00 [kpsmoused]
root 725 2 0 18:51 ? 00:00:00 [kstriped]
root 728 2 0 18:51 ? 00:00:00 [kondemand/0]
root 729 2 0 18:51 ? 00:00:00 [kondemand/1]
root 750 2 0 18:51 ? 00:00:00 [hid_compat]
root 786 2 0 18:51 ? 00:00:00 [rpciod/0]
root 787 2 0 18:51 ? 00:00:00 [rpciod/1]
root 950 1 0 18:51 ? 00:00:00 /sbin/udevd --daemon
root 1251 2 0 18:51 ? 00:00:00 [kmmcd]
root 1469 2 0 18:51 ? 00:00:00 [iwlagn/0]
root 1470 2 0 18:51 ? 00:00:00 [iwlagn/1]
root 1471 2 0 18:51 ? 00:00:00 [phy0]
root 1590 2 0 18:51 ? 00:00:00 [hd-audio0]
root 1672 2 0 18:51 ? 00:00:00 [kdmflush]
root 1677 2 0 18:51 ? 00:00:00 [kdmflush]
root 1678 2 0 18:51 ? 00:00:00 [kdmflush]
root 1772 2 0 18:52 ? 00:00:00 [reiserfs/0]
root 1773 2 0 18:52 ? 00:00:00 [reiserfs/1]
root 2245 1 0 18:52 ? 00:00:00 /usr/sbin/acpid
101 2259 1 0 18:52 ? 00:00:00 /usr/bin/dbus-daemon --system
106 2274 1 0 18:53 ? 00:00:02 /usr/sbin/hald --use-syslog --verbose=no
root 2275 2274 0 18:53 ? 00:00:00 hald-runner
root 2303 2275 0 18:53 ? 00:00:00 hald-addon-input: Listening on /dev/input/event1 /dev/input/event0 /dev/input/event2 /dev/input/event3 /dev/input/event8 /dev/input/event4
root 2307 2275 0 18:53 ? 00:00:00 /usr/libexec/hald-addon-cpufreq
106 2308 2275 0 18:53 ? 00:00:00 hald-addon-acpi: listening on acpid socket /var/run/acpid.socket
root 2320 2275 0 18:53 ? 00:00:00 hald-addon-storage: polling /dev/sr0 (every 2 sec)
root 2387 1 0 18:53 ? 00:00:00 /usr/sbin/wpa_supplicant -c /etc/wpa_supplicant/wpa_supplicant.conf -W -B -i wlan0 -P /var/run/wpa_supplicant-wlan0.pid
root 2394 1 0 18:53 ? 00:00:00 /usr/bin/wpa_cli -a /etc/wpa_supplicant/wpa_cli.sh -p /var/run/wpa_supplicant -i wlan0 -P /var/run/wpa_cli-wlan0.pid -B
root 2425 1 0 18:53 ? 00:00:00 /usr/bin/slim
root 2429 2425 3 18:53 tty7 00:00:44 /usr/bin/X -nolisten tcp -br -deferglyphs 16 -auth /var/run/slim.auth vt07
privoxy 2560 1 0 18:53 ? 00:00:00 /usr/sbin/privoxy --pidfile /var/run/privoxy.pid --user privoxy privoxy /etc/privoxy/config
tor 2576 1 0 18:53 ? 00:00:00 /usr/bin/tor --runasdaemon 1 --PidFile /var/run/tor/tor.pid
root 2589 1 0 18:53 tty1 00:00:00 /sbin/agetty 38400 tty1 linux
root 2590 1 0 18:53 tty2 00:00:00 /sbin/agetty 38400 tty2 linux
root 2591 1 0 18:53 tty3 00:00:00 /sbin/agetty 38400 tty3 linux
root 2592 1 0 18:53 tty4 00:00:00 /sbin/agetty 38400 tty4 linux
root 2593 1 0 18:53 tty5 00:00:00 /sbin/agetty 38400 tty5 linux
root 2594 1 0 18:53 tty6 00:00:00 /sbin/agetty 38400 tty6 linux
scys 2605 2425 0 18:53 ? 00:00:01 awesome
scys 2620 1 0 18:53 ? 00:00:02 fcitx
scys 2628 1 0 18:53 ? 00:00:00 dbus-launch --autolaunch e1e0d117d0f1ed3c60e73c3b49903a0b --binary-syntax --close-stderr
scys 2629 1 0 18:53 ? 00:00:00 /usr/bin/dbus-daemon --fork --print-pid 5 --print-address 7 --session
scys 3408 1 0 18:57 ? 00:00:00 xterm
scys 3410 3408 0 18:57 pts/0 00:00:00 zsh
scys 3689 1 0 18:58 ? 00:00:08 /home/scys/opt/lib/opera/10.00/opera
scys 3825 3410 0 19:13 pts/0 00:00:00 ps -ef

复制代码

sipingal · 发表于 2009-3-3 22:03:00

后来我把自己的密码设置得比较复杂了，就没有这回事了。特别是长期开机，为了bt电驴等的，你的机器放在DMZ区域，很容被别人搜索到。

有些木马是在一个文件名为空格的目录里面放了个空格文件名的可执行文件
如： $ mkdir " " && echo "xxxxx" > " "

这种一般你可以运行如下命令判断和查找
ls -l /proc/<pid>/cwd
cat /proc/<pid>/cmdline

Awei · 发表于 2009-3-3 22:16:37

楼上两位吓着我了……
刚刚认真看了一下，进程根本捉不住，基本上是一秒变几次，比如：ID是2911，结果在1秒之类就变也了30＊＊了。跑得很快。
以前用其他发行版本好像没见过这类情况。
顺便说一下，我的机子没有放在DMZ中。只是通过路由开了FTP和apache出去。

Awei · 发表于 2009-3-4 08:02:18

我怀疑空进程是ibus在作怪。
感觉Linux应该没那么脆弱。
刚才，我把ibus中断后，发现空进程就不再出现了。重启ibus，空进程又出现了。

SCys · 发表于 2009-3-4 09:18:07

只要是服务器.连上网,都有机会中招.

---

如果是脚本文件倒是无所谓.直接emerge 基本的库就OK
如果是内核或是gcc,就有得你好受了.哈哈

---

猛变的PID?
那样呀,你试试用LiveCD来启动分析他们吧.
Chroot后strace PID

hjhee · 发表于 2009-3-4 21:47:24

字体真好看啊
问下是如何配置的？

		自动登录	找回密码
密码			注册

怎么会有这样的进程？

本帖子中包含更多资源

你应该是被人家植入后门了，我之前自己的也电脑被人当过肉鸡

浏览过的版块