免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
12下一页
最近访问板块 发新帖
查看: 12030 | 回复: 12
打印 上一主题 下一主题

sshd 进程解析 [复制链接]

论坛徽章:
0
跳转到指定楼层
1 [收藏(0)] [报告]
发表于 2010-01-27 09:16 |只看该作者 |倒序浏览
前段时间发现一个linux(redhat as 4.0)的服务器很慢,查看CPU几乎100%,但是在top中并不能发现占用CPU的进程。

检查系统进程ps -ef 发现sshd的命令显示乱码(可以肯定的是不是编码集导致的显示不正常),下面是另外一个同样症状的服务器,不过目前没有发作导致CPU100%:

root     25187     1  0  2009 ?        00:00:12 [atd]
root      1234     1  0  2009 ?        00:04:29 ▒?q
root     30160     1  0  2009 ?        00:00:00 java9011 -classpath ./classes:./lib/commons-codec-1.3.jar:./
root     20222     1  0  2009 ?        00:00:43 syslogd -m 0
root     20227     1  0  2009 ?        00:00:00 klogd -x
root      9698     3  0 Jan16 ?        00:00:02 [pdflush]
root     28268     3  0 Jan22 ?        00:00:00 [pdflush]
root     10947     1  0 Jan24 ?        00:00:03 /usr/sbin/snmpd -Lsd -Lf /dev/null -p /var/run/snmpd -a
root     32342  1234  0 08:57 ?        00:00:00 ▒?q
root     32346 32342  0 08:58 pts/1    00:00:00 -bash
root     32431 32346  0 09:06 pts/1    00:00:00 ps -ef

lsof -p 1234
COMMAND  PID USER   FD   TYPE     DEVICE    SIZE     NODE NAME
sshd    1234 root  cwd    DIR        8,1    4096        2 /
sshd    1234 root  rtd    DIR        8,1    4096        2 /
sshd    1234 root  txt    REG        8,1 1830579  1131323 /usr/sbin/sshd
sshd    1234 root  mem    REG        8,1   27231   542557 /lib/libcrypt-2.3.4.so
sshd    1234 root  mem    REG        8,1  102447   542542 /lib/ld-2.3.4.so
sshd    1234 root  mem    REG        8,1 1454835   542543 /lib/tls/libc-2.3.4.so
sshd    1234 root  mem    REG        8,1   15384   542545 /lib/libdl-2.3.4.so
sshd    1234 root  mem    REG        8,1  179139   542544 /lib/tls/libm-2.3.4.so
sshd    1234 root  mem    REG        8,1   45868   540722 /lib/libnss_files-2.3.4.so
sshd    1234 root  mem    REG        8,1   12592   542472 /lib/libtermcap.so.2.0.8
sshd    1234 root  mem    REG        8,1   29344   542555 /lib/libpam.so.0.77
sshd    1234 root  mem    REG        8,1   95320   542553 /lib/libnsl-2.3.4.so
sshd    1234 root  mem    REG        8,1   14586   542549 /lib/libutil-2.3.4.so
sshd    1234 root  mem    REG        8,1  879961   993609 /usr/lib/libncurses.so.5.4
sshd    1234 root    0u   CHR        1,3             1660 /dev/null
sshd    1234 root    1u   CHR        1,3             1660 /dev/null
sshd    1234 root    2u   CHR        1,3             1660 /dev/null
sshd    1234 root    3u  IPv6    3684379              TCP *:ssh (LISTEN)
sshd    1234 root    4u  unix 0xd3e8e4c0         14418076 socket


由于该进程导致了系统的CPU居高,所以就在服务器上把类似1234的进程给kill了,系统反应快多了(从其他应用测试看到很快),不过sshd不能登录了。

之间检查/var/log/message, /var/log/secure 发现以前纪录的用户认证失败信息也都没有了。

我感觉是系统可能被修改了,请专家指点。

[ 本帖最后由 rainbow 于 2010-1-27 09:25 编辑 ]

sshd.JPG (39.25 KB, 下载次数: 52)

sshd.JPG

论坛徽章:
0
2 [报告]
发表于 2010-01-27 09:37 |只看该作者
楼主是不是在win下登录的服务器,如果是的话,可以改下连接会话的编码。 UTF8

论坛徽章:
0
3 [报告]
发表于 2010-01-27 10:15 |只看该作者
会话的编码是对的,显示utf8中文没有问题。

论坛徽章:
0
4 [报告]
发表于 2010-01-27 13:16 |只看该作者
你有每有strace 一下那进程看她在做什么?

论坛徽章:
0
5 [报告]
发表于 2010-01-27 14:19 |只看该作者
没有strace过,感觉是sshd被修改了。

招聘 : 技术支持/维
论坛徽章:
0
6 [报告]
发表于 2010-01-27 23:27 |只看该作者

回复 #1 rainbow 的帖子

学习

论坛徽章:
0
7 [报告]
发表于 2010-01-30 23:27 |只看该作者
看看ssh的日志吧。
可能是登录了以后,执行了什么进程了吧?

论坛徽章:
0
8 [报告]
发表于 2010-02-06 14:40 |只看该作者
哦, ssh的日志哪里可以看到? 这个我还真的没有注意哦

论坛徽章:
0
9 [报告]
发表于 2010-02-06 15:52 |只看该作者
rpm -V openssh-server
看看文件有没有被改

论坛徽章:
0
10 [报告]
发表于 2010-02-07 11:26 |只看该作者
[root@ftpdata local]# rpm -V openssh-server
S.5....T. c /etc/ssh/sshd_config
S.5....TC   /usr/sbin/sshd

md5sum /usr/sbin/sshd 发现给文件的签名已经被修改了。
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP