Toon posts:

[Linux] Path/filename van proces opvragen

Pagina: 1
Acties:

donderdag 12 januari 2006 23:12

Acties:
  • zeroxcool
  • Registratie: Januari 2001
  • Laatst online: 22:41

zeroxcool

Topicstarter
Ik heb voor wat maten een webservertje draaien, nu komen daar geregeld (door niet geupdate phpbb boards, Mambo, je weet wel) IRC botjes op te draaien (begin maar niet over preventie, eerst dit oplossen ;)). Nu kill ik - mocht ik weer een botje vinden - deze processen altijd. En meestal staan ze dan in /tmp en /var/tmp. Zojuist kwam ik echter geen Perl scriptje in die directories, waardoor ik benieuwd was waar ze wel stonden.

Nu heb ik het volgende geprobeerd:
strace aan het proces koppelen, zo zie je echter alleen verkeer via de filedescriptors naar bijvoorbeeld een IRC-server lopen, dat is niet wat ik wil
sar aan het proces koppelen, maar ook hier krijg ik niet het originele path/filename van het proces terug

Is dit anders op te lossen, of is het überhaupt mogelijk dit op te vragen?

zeroxcool.net - curity.eu

donderdag 12 januari 2006 23:17

Acties:
  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

Met lsof kan je dergelijke informatie opvragen :)
Maar toch ben ik van mening dat je er juist voor moet zorgen dat je die meuk niet op je server krijgt, als je het er eenmaal op hebt kan je namelijk het beste een nieuwe installatie doen, je weet nooit of en wat voor meuk er achter blijft ;)

donderdag 12 januari 2006 23:18

Acties:

Verwijderd

"ps -auxw" laat het complete path zien.

Als je dan nog steeds niet het path bij sommige processen ziet kun je "which <naam van process> gebruiken om te kijken uit welke directory het process is gestart.

voorbeeld: "which lpq" toont "/usr/bin/lpq".


Bedoelde je zoiets ?

donderdag 12 januari 2006 23:22

Acties:
  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

Verwijderd schreef op donderdag 12 januari 2006 @ 23:18:
"ps -auxw" laat het complete path zien.
ook alleen maar als dat proces met het complete path gestart is ;)
Als je dan nog steeds niet het path bij sommige processen ziet kun je "which <naam van process> gebruiken om te kijken uit welke directory het process is gestart.

voorbeeld: "which lpq" toont "/usr/bin/lpq".
which zoekt alleen in je path, niet in bijvoorbeeld /tmp/evil-irc-botje ;)

donderdag 12 januari 2006 23:34

Acties:
  • zeroxcool
  • Registratie: Januari 2001
  • Laatst online: 22:41

zeroxcool

Topicstarter
En ps auxw is ook niet voldoende als men trucks als dit uithaalt:
Perl:
1
2
3

#!/usr/bin/perl

$ARGV[0] = "evilbotje";


:)

Och tuurlijk, lsof (wat ik ook gebruik bij het zoeken naar processen op bepaalde TCP-poorten) kan dit. Omdat ik lui ben zo laat op de avond, wat is de precieze syntax :X, met lsof -p {pid} krijg ik wel meerdere files maar - naar mijn mening - niet de boosdoener.

[ Voor 5% gewijzigd door zeroxcool op 12-01-2006 23:36 ]

zeroxcool.net - curity.eu

donderdag 12 januari 2006 23:44

Acties:
  • Erkens
  • Registratie: December 2001
  • Niet online

Erkens

Fotograaf

ZeRoXcOoL schreef op donderdag 12 januari 2006 @ 23:34:
Och tuurlijk, lsof (wat ik ook gebruik bij het zoeken naar processen op bepaalde TCP-poorten) kan dit. Omdat ik lui ben zo laat op de avond, wat is de precieze syntax :X, met lsof -p {pid} krijg ik wel meerdere files maar - naar mijn mening - niet de boosdoener.
dan weet je toch genoeg :?
de "boosdoener" moet daar tussen staan, tenzij het weer andere processen spawnt, dan moet je die ook maar bekijken, eigen schuld moet je er maar voor zorgen dat je dergelijke troep niet op je server krijgt. enne lui zijn is geen excuus

vrijdag 13 januari 2006 02:06

Acties:
  • Coen Rosdorff
  • Registratie: Januari 2000
  • Niet online

Coen Rosdorff

Met een 'ls -l /proc/{$pid}/' kom je alles wat je wil te weten over het betreffende process.

vrijdag 13 januari 2006 16:11

Acties:

Verwijderd

draai anders voor de zekerheid ook nog eens even chkrootkit:
http://www.chkrootkit.org/

vrijdag 13 januari 2006 16:30

Acties:
  • DiedX
  • Registratie: December 2000
  • Laatst online: 22:25

DiedX

little_soundman schreef op vrijdag 13 januari 2006 @ 02:06:
Met een 'ls -l /proc/{$pid}/' kom je alles wat je wil te weten over het betreffende process.
Yup. Zo doe ik dat altijd :)

DiedX supports the Roland™, Sound Blaster™ and Ad Lib™ sound cards

vrijdag 13 januari 2006 16:31

Acties:

Verwijderd

netstat?

vrijdag 13 januari 2006 16:34

Acties:
  • Wilke
  • Registratie: December 2000
  • Laatst online: 22:25

Wilke

ZeRoXcOoL schreef op donderdag 12 januari 2006 @ 23:34:
Och tuurlijk, lsof (wat ik ook gebruik bij het zoeken naar processen op bepaalde TCP-poorten) kan dit. Omdat ik lui ben zo laat op de avond, wat is de precieze syntax :X, met lsof -p {pid} krijg ik wel meerdere files maar - naar mijn mening - niet de boosdoener.
'man lsof', lui zijn dat doe je maar ergens anders hoor....

vrijdag 13 januari 2006 16:40

Acties:
  • zeroxcool
  • Registratie: Januari 2001
  • Laatst online: 22:41

zeroxcool

Topicstarter
Wilke schreef op vrijdag 13 januari 2006 @ 16:34:
[...]

'man lsof', lui zijn dat doe je maar ergens anders hoor....
Bedankt voor de wezenloze tip!

Jongens, bedankt voor de hulp, vooral de /proc tip did the trick!

zeroxcool.net - curity.eu

Pagina: 1
Reageer

Apple iPhone 17 LG OLED evo G5 Google Pixel 10 Samsung Galaxy S25 Star Wars: Outlaws Nintendo Switch 2 Apple AirPods Pro (2e generatie) Sony PlayStation 5 Pro

Tweakers is onderdeel van DPG Media B.V.
Alle rechten voorbehouden - Auteursrecht © 1998 - 2026 Hosting door TrueFullstaq