Diese Website existiert nur weil wir Werbung mit AdSense ausliefern.
Bitte den AdBlocker daher auf dieser Website ausschalten! Danke.

"komischer" prozess

Alles rund um die verschiedenen Konsolen und shells sowie die Programmierung unter Linux

Moderator: Moderatoren

Antworten
AlienXing
Newbie
Newbie
Beiträge: 15
Registriert: 21. Apr 2004, 10:14

"komischer" prozess

Beitrag von AlienXing »

Hi!

ich hab nach dem starten von suse 9.1 was eigenartiges:

wenn ich mir mit TOP in der konsole die pozesse anschau die gerade laufen, dann hab ich an erster stelle einen prozess der zwischen 10 und 20 % meiner cpu braucht. bei genauerer betrachtung hat dieser prozess den eigentümer "nobody" und der macht ein "find". hab keine ahnung was das sein soll, nehme aber an daß es was mit dem samba server zutun hat, da der ja ein nobody (guest) kennt.....

bitte korrigiert mich wenn ich jetzt im ganz falschen forum bin...
is ja nur eine vermutung

danke vorab für die hilfe

mfg
alienxing
Benutzeravatar
nobbiew
Hacker
Hacker
Beiträge: 497
Registriert: 1. Mär 2004, 23:26

Beitrag von nobbiew »

Meld dich als root an und schau mit

Code: Alles auswählen

ps -ef | grep find
nach wie der Befehl genau lautet. Evtl. gibt das aufschluss darüber, was gerade abläuft
Benutzeravatar
oc2pus
Ultimate Guru
Ultimate Guru
Beiträge: 6506
Registriert: 21. Jun 2004, 13:01

Beitrag von oc2pus »

wahrscheinlich läuft gerade der cron.daily und räumt auf bzw erstellt Sicherungen, ...
tell people what you want to do, and they'll probably help you to do it.
PackMan
LinWiki : Das Wiki für Linux User
AlienXing
Newbie
Newbie
Beiträge: 15
Registriert: 21. Apr 2004, 10:14

Beitrag von AlienXing »

ja das wars...
danke...
Christian Menke
Newbie
Newbie
Beiträge: 7
Registriert: 13. Sep 2004, 19:11
Wohnort: Kamen

Beitrag von Christian Menke »

ich fürchte, es könnte auch ein Angriff auf den Rechner sein. Ich habe das jetzt schon zum zweiten Mal bemerkt, weil meine Festplatten wie doll rödelten, obwohl ich keinen eigenen wesentlichen Zugriff gestartet habe. Über die Prozesstabelle habe ich beim ersten Mal auch den durch nobody gestarteten find Befehl entdeckt und die Verbindung zum Internet gekappt. Danach waren auch Aktionen durch nobody beendet. Gestern habe ich aus gleichem Grunde wieder die Prozesstabelle aufgerufen und wieder nobody gefunden. Der läuft auch unter Benutzerprozesse und nicht unter Systemprozesse. Zudem hatte mein nobody bei mir ganz offenbar den su Befehl eingegeben. Ich habe die Verbindung sofort gekappt. Als ich als normaler User anschließend die Prozesse killen wollte, meldete mir mein PC, ich hätte nicht die nötigen Rechte. Habe dann als root über die Konsole mit der PID killen wollen - da gab es die Prozesse aber nicht mehr. Habe dann in verschiedenen Logs unter /var/logs gesucht, was genau find suchen sollte oder wie der Su-Zugriff erfolgte, fand aber wohl das passende Log nicht. Ist schon doof, wenn man sich noch nicht richtig auskennt! Ich bin etwas frustriert - weil ich von Anfang an eine Firewall von Suse 9.1 prof. laufen habe. Leider hab ich noch keine Ahnung, wie ich Linux so sicher einstellen kann, wie Windows. Ich fürchte, mein System ist mit Linux im Moment noch so offen für Sicherheitsangriffe wie ein Scheunentor. Falls jemand mir, einem noch unerfahrenen Linuxuser, konkret sagen kann, was ich in diesem Bereich machen kann - das wäre toll! Eine lapidare Info, man müsse die Firewall richtig einstellen, wäre mir keine große Hilfe - mir geht es um das Wie. Wie kann ich beispielsweise ssh und andere Zugriffe von aussen abschalten? Ich habe kein privates Netzwerk und gehe nur über ADSL ins Netz.
Christian Menke
Newbie
Newbie
Beiträge: 7
Registriert: 13. Sep 2004, 19:11
Wohnort: Kamen

Beitrag von Christian Menke »

habe gerade in der Datei /var/log/messages etwas gefunden! Weiß jemand, was das genau bedeuted?

Nov 13 06:01:31 linux su: (to nobody) root on none
Nov 13 06:01:31 linux su: pam_unix2: session started for user nobody, service su

Nov 13 06:05:22 linux su: pam_unix2: session finished for user nobody, service su

Gruß,
Christian
RG
Member
Member
Beiträge: 95
Registriert: 24. Jun 2004, 13:48

Beitrag von RG »

Hallo,

also das find ist völlig normal!
find durchsucht die HDD und wird von mandb benötigt. Es wird tatsächlich von cron.daily gestartet! Warum es als User nobody läuft? Weiß ich auch nicht ganz sicher! Ich vermute das es was mit den Rechten zu tun hat. Als root wärs wohl übertrieben! Find ansich braucht aber root Rechte damit es alle Verzeichnisse abklappern kann!
Wozu brauchen wir mandb?
Mandb ist eine Datenbank, in der alle Programme und Datein verzeichnet sind - und was bringt uns das?
Wenn wir mit locate ein Programm oder eine Datei suchen, werden wir sehr schnell fündig.
z.B.:

Im Terminalfenster:
locate mandb (+enter)

und es zeigt wo überall ein mandb zu finden ist.

Das ist der ganze spuk ;-)

Also kein Angriff oder Hack!

Ich benutze gern locate, da es mir schnell und zuverlässig auch programme anzeigt!

Schönen Gruß
RG
Christian Menke
Newbie
Newbie
Beiträge: 7
Registriert: 13. Sep 2004, 19:11
Wohnort: Kamen

Beitrag von Christian Menke »

Hallo RG,

Danke für den Tipp. Ich werd´ mich jetzt erst mal mit diesem Cron Daemon befassen. Mit mandb habe ich mich jetzt schon befasst - der ist für die man Seiten. Vielleicht läuft ja auch updatedb für locate - ich werd es herausfinden, wenn ich weiß, wie cron funktioniert.

Gruß,
Christian
Benutzeravatar
nobbiew
Hacker
Hacker
Beiträge: 497
Registriert: 1. Mär 2004, 23:26

Beitrag von nobbiew »

@RG
Das ganze hat nur einen Haken. Bei SuSE 9.1 wird das ganze erst mal nicht mitinstalliert. Da musst du schon selber tätig werden, damit das wieder Funktioniert.
@Christian Menke:
Also denk mal nach, hast du das mitinstalliert u. auch aktiviert?. Und du hast recht es heißt nicht mandb sondern updatedb u. in Yast kannst du auch angeben unter welcher Kennung der Prozeß laufen soll. Und noch was. Wenn´s tatsächlich das ist, dann sollte, das ganze immer zur gleichen Zeit laufen.
RG
Member
Member
Beiträge: 95
Registriert: 24. Jun 2004, 13:48

Beitrag von RG »

Hallo,

sorry ja stimmt es heißt updatedb - wie komme ich nur auf mandb?!?!? sorry!

Aber bei der 9.1 ist es schon automatisch mit installiert worden - bei mir zumindest. Ich habe die 9.1 Prof. und da läuft das find auch einmal täglich...

Also das ist mir schon ein Rätsel, wie komme ich nur auf mandb..... naja- sagen wir einfach mal ... Das Alter :D :D

schönen Gruß
RG
Christian Menke
Newbie
Newbie
Beiträge: 7
Registriert: 13. Sep 2004, 19:11
Wohnort: Kamen

Beitrag von Christian Menke »

Habe mir meine crontabs angesehen - nur in cron.daily sind überhaupt Scripte. Nur in updatedb ist ein Hinweis auf den User nobody. Aber auch da finde ich die Aufrufe für su und find nicht.

# avoid error messages from updatedb when using user nobody for find.
cd /

PARAMS="`test -n "$RUN_UPDATEDB_AS" && \
fgrep localuser /usr/bin/updatedb > /dev/null && \
echo --localuser=$RUN_UPDATEDB_AS`"

PARAMS="$PARAMS `test -n "$UPDATEDB_PRUNEPATHS" && \
echo --prunepaths=\'$(eval echo $UPDATEDB_PRUNEPATHS)\'`"

PARAMS="$PARAMS `test -n "$UPDATEDB_NETUSER" && \
echo --netuser=$UPDATEDB_NETUSER`"

PARAMS="$PARAMS `test -n "$UPDATEDB_NETPATHS" && \
echo --netpaths=\'$(eval echo $UPDATEDB_NETPATHS)\'`"

PARAMS="$PARAMS `test -n "$UPDATEDB_PRUNEFS" && \
echo --prunefs=\'$(eval echo $UPDATEDB_PRUNEFS)\'`"

eval nice -n 19 /usr/bin/updatedb $PARAMS 2> /dev/null
fi

Wird das noch durch andere Konfigurationsdateien gesteuert, oder könnte sich doch jemand unter dem vermeintlich harmlosen Pseudonym "nobody" eingeschlichen haben?

Und RG: mandb ist doch richtig, das Script läuft bei mir auch täglich - allerdings ist im Script kein Hinweis auf nobody zu finden.

Gruß,
Christian
taki
Advanced Hacker
Advanced Hacker
Beiträge: 974
Registriert: 30. Apr 2004, 17:40
Wohnort: Berlin

Beitrag von taki »

Hallo.
Ich muss diesen Thread mal aus dem Mief der Vergessenheit ziehen, weil ich genauso wie der Vorposter erst mal einen Schreck bekam und an einen Angriff dachte :oops: ...

Ich fasse mal zusammen, was ich herausbekommen habe. Das sollte zur Beruhigung reichen. Keine Verschwörung, kein Einbruch, alles normal :P

Der Crontab-Eintrag für die Cronjobs des Systems unter /etc/crontab.

Daraus ergibt sich, dass virtelstündlich das Skript /usr/lib/cron/runcrons ausgeführt wird, welches wiederum prüft, ob die Skripte aus den Verzeichnissen /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly und /etc/cron.monthly auszuführen sind.

Wenn der Rechner zur vorgesehenen Zeit nicht eingeschaltet war (oder crond da nicht lief), werden die Jobs zu einem späteren Zeitpunkt ausgeführt. Daraus können sich dann unterschiedliche Zeitpunkte ergeben, zu denen die Meldung in /var/log/messages auftaucht.

Der Job, der richtig auffällt, weil er leider das System sehr stark belastet, ist (wie oben schon genannt) updatedb.
SuSE 12.3 kernel 3.7.10-1.16-desktop, K Desktop Environment Version 4.10.5 r1 - Medion Titanium Aldi v. 03/2009
Antworten