Ubuntu-fr

tanfast

avoir plus d'information sur un PID

Bonjour à tous,
je possède un serveur ubuntu 14.04 où j'héberge des sites web wordpress et j'ai trouvé un PID bizarre dans mon HTOP et j'aimerais avoir plus d'informations sur ce PID et comment le remonter/tracer ?
J'imagine que ca doit être du à un site/plugin/thème compromis

C'est le PID : 27698 et dans la colonne "command" il y a écrit : aaaaaaaaaaaaaaaaa

https://nsa39.casimages.com/img/2018/10 … 342137.png

Autre chose de bizarre c'est que j'avais 4 PID qui bouffait ma CPU où on pouvait lire dans Command " PS "
Quand j'ai kill la première ligne du process PID 4817, cela a viré les 4 lignes " PS " savez-vous pourquoi ou auriez-vous une explication svp? après ce n'est pas revenu

https://nsa39.casimages.com/img/2018/10 … 890213.png

Dernière modification par cqfd93 (Le 24/10/2018, à 18:43)

DarkBahhh

Re : avoir plus d'information sur un PID

Salut tanfast,

Pour aaaaaaaaaaaaaaa :
tu peux aller chercher plus d'information dans

cat /proc/PID/status             # avec PID = le PID du proces que tu cherche

Pour le PS x4 :
htop affiche tout les "threads" du process. Pour afficher les process en une seul ligne, tu peux taper "H" dans htop.

tanfast

Re : avoir plus d'information sur un PID

Merci pour ton retour, alors la commande que tu m'as donné, renvoie ça, cela donne un state "sleeping" donc pour le aaaaaaa ca m'aide pas trop

root@serveur-3:~# cat /proc/20419/status
Name:   aaaaaaaaaaaa
State:  S (sleeping)
Tgid:   20419
Ngid:   0
Pid:    20419
PPid:   1
TracerPid:      0
Uid:    1001    1001    1001    1001
Gid:    1001    1001    1001    1001
FDSize: 512
Groups: 1001
VmPeak:     2344 kB
VmSize:     2344 kB
VmLck:         0 kB
VmPin:         0 kB
VmHWM:        96 kB
VmRSS:        68 kB
VmData:     2208 kB
VmStk:       132 kB
VmExe:        28 kB
VmLib:  18446744073709551592 kB
VmPTE:        20 kB
VmSwap:        0 kB
Threads:        1
SigQ:   0/117397
SigPnd: 0000000000000000
ShdPnd: 0000000000000000
SigBlk: 0000000000000000
SigIgn: 0000000000010006
SigCgt: 0000000000000000
CapInh: 0000000000000000
CapPrm: 0000000000000000
CapEff: 0000000000000000
CapBnd: 0000001fffffffff
Seccomp:        0
Speculation_Store_Bypass:       vulnerable
Cpus_allowed:   f
Cpus_allowed_list:      0-3
Mems_allowed:   00000000,00000001
Mems_allowed_list:      0
voluntary_ctxt_switches:        6491
nonvoluntary_ctxt_switches:     1189

Et l'autre truc inquiétant c'est ce "PS" PID 6450 qui affiche time 9h30 alors que j'ai reboot mon serveur il y a 5heures donc ca à pas de sens et en plus il a un name "init" https://nsa39.casimages.com/img/2018/10 … 197814.png

root@serveur-3:~# cat /proc/1730/status
Name:   mysqld
State:  S (sleeping)

root@serveur-3:~# cat /proc/6452/status
Name:   init
State:  R (running)

root@serveur-3:~# cat /proc/6453/status
Name:   init
State:  R (running)

Qu'en dites vous? merci

Dernière modification par cqfd93 (Le 24/10/2018, à 18:42)

cqfd93

Re : avoir plus d'information sur un PID

Modération

Bonjour,

Les retours doivent être donnés sous forme de texte entre balises code, pas d'images bien trop lourdes.

---

− cqfd93 −

tanfast

Re : avoir plus d'information sur un PID

Est-ce le signe d'un serveur compromis et comment y remédier svp ?

 [|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||100.0%]     Tasks: 59, 48 thr; 8 running
  2  [|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||100.0%]     Load average: 6.91 8.10 9.36
  3  [||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||99.3%]     Uptime: 1 day, 05:02:35
  4  [|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||100.0%]
  Mem[|||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||||6609/14684MB]
  Swp[                                                                                        0/0MB]

  PID USER      PRI  NI  VIRT   RES   SHR S CPU% MEM%   TIME+  Command
23408 admin      20   0  525M 10180     0 S 230.  0.1  9h57:19 ps
23410 admin      20   0  525M 10180     0 R 67.0  0.1  2h29:00 ps
23411 admin      20   0  525M 10180     0 R 57.7  0.1  2h29:20 ps
23412 admin      20   0  525M 10180     0 R 53.7  0.1  2h29:39 ps
23409 admin      20   0  525M 10180     0 R 51.7  0.1  2h29:17 ps

admin@serveur-3:~$ cat /proc/23411/status
Name:   init
State:  R (running)
Tgid:   23408
Ngid:   0
Pid:    23411
PPid:   1
TracerPid:      0
Uid:    1001    1001    1001    1001
Gid:    1001    1001    1001    1001
FDSize: 64
Groups: 1001
VmPeak:   603164 kB
VmSize:   537628 kB
VmLck:         0 kB
VmPin:         0 kB
VmHWM:     10180 kB
VmRSS:     10180 kB
VmData:   537496 kB
VmStk:       132 kB
VmExe:       880 kB
VmLib:  18446744073709550736 kB
VmPTE:       104 kB
VmSwap:        0 kB
Threads:        9
SigQ:   0/117397
SigPnd: 0000000000000000
ShdPnd: 0000000000000000
SigBlk: 0000000000000000
SigIgn: 0000000000001004
SigCgt: 0000000180004003
CapInh: 0000000000000000
CapPrm: 0000000000000000
CapEff: 0000000000000000
CapBnd: 0000001fffffffff
Seccomp:        0
Speculation_Store_Bypass:       vulnerable
Cpus_allowed:   f
Cpus_allowed_list:      0-3
Mems_allowed:   00000000,00000001
Mems_allowed_list:      0
voluntary_ctxt_switches:        1
nonvoluntary_ctxt_switches:     1689776

Nuliel

Re : avoir plus d'information sur un PID

Tu peux tenter

ps -Flww -p THE_PID

pour retrouver le chemin de l'executable

---

[ poster un retour de commande ] [ poster une photo ]

tanfast

Re : avoir plus d'information sur un PID

Bonsoir, cela me donne ça comme info mais ce n'est pas très parlant pour retrouver d'où est lancer ce processus?

admin@serveur-3:~$ ps -Flww -p 16702
F S UID        PID  PPID  C PRI  NI ADDR SZ WCHAN    RSS PSR STIME TTY          TIME CMD
1 S admin    16702     1 99  80   0 - 150812 ep_pol 14532  1 13:16 ?        1-03:16:20 ps   

bruno

Re : avoir plus d'information sur un PID

Pour voir l'emplacement de l'exécutable correspondant au processus 16702 :

readlink -f /proc/16702/exe

tanfast

Re : avoir plus d'information sur un PID

Ca semble pas mal comme commande bruno merci, que pensez-vous de ce fichier en /tmp ? je pense le RM baste mais qu'en est-il des autres fichier/exe ? sur un autre serveur je n'ai rien dans ce /tmp

admin@serveur-3:/tmp$ ls
baste  init  pma6  pmax86  pmax866  <- ils sont tous verts
admin@serveur-3:/tmp$ htop
admin@serveur-3:/tmp$ readlink -f /proc/23259/exe
/tmp/baste

un cat baste donne ça :

admin@serveur-3:/tmp$ cat baste
ELF>p[@@8@▒b▒bH▒H▒PH▒P"l▒3
▒@▒▒mP▒;v▒8F>
▒▒=o▒▒▒Y▒UH▒▒t▒8▒▒7▒▒Q▒tH▒,▒▒YI▒o▒▒H▒▒d▒
                 -▒▒o▒o▒▒H▒H▒▒u▒0▒▒▒▒   ▒t
H▒#▒U▒▒▒溶k▒f▒7▒▒▒U$P▒▒▒Pl▒f▒,▒\=îmtJ7▒o▒▒8▒"I▒▒▒A▒▒?H▒▒▒߶▒1▒▒^@▒/▒▒PTH▒njA7▒▒[▒▒I▒▒8▒O▒x▒o▒▒▒+▒}▒u▒ E▒k[▒▒▒▒▒E▒▒▒E▒▒▒[
▒R▒
sb▒▒▒
▒▒O▒p▒L@t▒uЉM▒f,̓▒▒▒HE؋@
        ▒o▒ۖ▒▒▒▒
!▒▒▒▒▒W▒X▒▒ȳ▒▒▒▒u
      ▒%▒▒A▒s▒B▒▒▒Kq3▒l▒v@      ]▒a▒▒▒vU7▒▒E
+▒▒▒u▒?▒u▒f0▒I▒5▒:t▒▒▒g 8▒X},              ▒.▒u▒        ▒mo▒OO▒▒▒▒▒▒m▒▒ODd3▒▒B▒6ڍ▒%?▒&"9E▒7▒▒▒▒
▒▒E(JN
▒▒▒-▒F /U▒▒▒▒</▒9▒&]▒▒p▒D▒
0v7▒▒▒▒Gs▒▒-;▒▒▒7▒;E▒▒▒}▒▒,▒▒H▒▒H)▒▒H=X▒ ▒▒~

moko138

Re : avoir plus d'information sur un PID

Et

ps fauxwww | grep -v grep | grep -E "27698|16702|COM"

cela ne donne-t-il pas plus de détails utiles ?

Cela donne chez moi tantôt des résultats brefs :

ps fauxwww | grep -v grep | grep -E "31329|COM|24116"
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
moko      31329  1.9  1.5 216136 43300 ?        Sl   20:12   0:04      \_ vlc  

donc sans le chemin vers le fichier, pourtant ouvert par vlc ;

tantôt, au contraire, confortablement profus :

ps fauxwww | grep -v grep | grep -E "31329|COM|24116"
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
moko      24116  0.0  3.0 182312 86080 ?        S    10:37   0:03 viewnior /chemin/COMPLET/vers/fichier.JPG

mais je ne connais pas les critères de cette fluctuation.

---

%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

bruno

Re : avoir plus d'information sur un PID

Ton serveur semble compromis. Ces fichiers n'ont rien à faire dans /tmp surtout des exécutables !
Dans le doute tu devrais réinstaller complètement et à faire un image disque pour une analyse post-mortem. Et t'assurer que tes WordPress n'ont pas été compromis.

tanfast

Re : avoir plus d'information sur un PID

A quoi cela correspond les deux chiffres dans ton exemple?

grep -E "27698|16702|COM"

j'imagine que dans l'un c'est le PID mais l'autre?

C'est bizarre parce que du coup j'ai supprimé ce fichier "baste" dans /tmp et même après reboot il est encore là, donc j'imagine qu'il se recrée à cause d'autre chose?

admin@serveur-3:/tmp$ ls
baste
admin@serveur-3:/tmp$ htop
You have new mail in /var/mail/admin
admin@serveur-3:/tmp$ readlink -f /proc/3295/exe
/tmp/baste
admin@serveur-3:/tmp$ readlink -f /proc/5551/exe
/tmp/baste
admin@serveur-3:/tmp$ ls
baste

Dernière modification par tanfast (Le 24/10/2018, à 23:05)

moko138

Re : avoir plus d'information sur un PID

A quoi cela correspond les deux chiffres dans ton exemple?

grep -E "27698|16702|COM"

j'imagine que dans l'un c'est le PID mais l'autre?

Pourqooi n'as-tu pas montré le retour ?

C'étaient deux de tes PID, tirés de la présente page.

Mais puisque tu as redémarré, ils n'existent plus (ou correspondent à d'autres tâches).

---

%NOINDEX%
Un utilitaire précieux : ncdu
Photo, mini-tutoriel :  À la découverte de dcraw

bruno

Re : avoir plus d'information sur un PID

C'est bizarre parce que du coup j'ai supprimé ce fichier "baste" dans /tmp et même après reboot il est encore là,…

Cela n'a rien de bizarre et confirme que ton serveur est compromis. Encore un fois tu dois au minimum le mettre hors ligne et refaire une installation complète en t'assurant que ton Wordpress n'a pas été piraté.
Je rappelle que le dossier /tmp est accessible à tout le monde en lecture et écriture, c'est donc souvent là que des exécutables malveillants sont copiés.

Dernière modification par bruno (Le 25/10/2018, à 07:17)