sshd 进程解析

rainbow

前段时间发现一个linux（redhat as 4.0）的服务器很慢，查看CPU几乎100%，但是在top中并不能发现占用CPU的进程。

检查系统进程ps -ef 发现sshd的命令显示乱码（可以肯定的是不是编码集导致的显示不正常），下面是另外一个同样症状的服务器，不过目前没有发作导致CPU100%：

root     25187     1  0  2009 ?        00:00:12 [atd]
root      1234     1  0  2009 ?        00:04:29 ▒?q
root     30160     1  0  2009 ?        00:00:00 java9011 -classpath ./classes:./lib/commons-codec-1.3.jar:./
root     20222     1  0  2009 ?        00:00:43 syslogd -m 0
root     20227     1  0  2009 ?        00:00:00 klogd -x
root      9698     3  0 Jan16 ?        00:00:02 [pdflush]
root     28268     3  0 Jan22 ?        00:00:00 [pdflush]
root     10947     1  0 Jan24 ?        00:00:03 /usr/sbin/snmpd -Lsd -Lf /dev/null -p /var/run/snmpd -a
root     32342  1234  0 08:57 ?        00:00:00 ▒?q
root     32346 32342  0 08:58 pts/1    00:00:00 -bash
root     32431 32346  0 09:06 pts/1    00:00:00 ps -ef

lsof -p 1234
COMMAND  PID USER   FD   TYPE     DEVICE    SIZE     NODE NAME
sshd    1234 root  cwd    DIR        8,1    4096        2 /
sshd    1234 root  rtd    DIR        8,1    4096        2 /
sshd    1234 root  txt    REG        8,1 1830579  1131323 /usr/sbin/sshd
sshd    1234 root  mem    REG        8,1   27231   542557 /lib/libcrypt-2.3.4.so
sshd    1234 root  mem    REG        8,1  102447   542542 /lib/ld-2.3.4.so
sshd    1234 root  mem    REG        8,1 1454835   542543 /lib/tls/libc-2.3.4.so
sshd    1234 root  mem    REG        8,1   15384   542545 /lib/libdl-2.3.4.so
sshd    1234 root  mem    REG        8,1  179139   542544 /lib/tls/libm-2.3.4.so
sshd    1234 root  mem    REG        8,1   45868   540722 /lib/libnss_files-2.3.4.so
sshd    1234 root  mem    REG        8,1   12592   542472 /lib/libtermcap.so.2.0.8
sshd    1234 root  mem    REG        8,1   29344   542555 /lib/libpam.so.0.77
sshd    1234 root  mem    REG        8,1   95320   542553 /lib/libnsl-2.3.4.so
sshd    1234 root  mem    REG        8,1   14586   542549 /lib/libutil-2.3.4.so
sshd    1234 root  mem    REG        8,1  879961   993609 /usr/lib/libncurses.so.5.4
sshd    1234 root    0u   CHR        1,3             1660 /dev/null
sshd    1234 root    1u   CHR        1,3             1660 /dev/null
sshd    1234 root    2u   CHR        1,3             1660 /dev/null
sshd    1234 root    3u  IPv6    3684379              TCP *:ssh (LISTEN)
sshd    1234 root    4u  unix 0xd3e8e4c0         14418076 socket


由于该进程导致了系统的CPU居高，所以就在服务器上把类似1234的进程给kill了，系统反应快多了（从其他应用测试看到很快），不过sshd不能登录了。

之间检查/var/log/message, /var/log/secure 发现以前纪录的用户认证失败信息也都没有了。

我感觉是系统可能被修改了，请专家指点。

[ 本帖最后由 rainbow 于 2010-1-27 09:25 编辑 ]

blueswxs

楼主是不是在win下登录的服务器，如果是的话，可以改下连接会话的编码。 UTF8

rainbow

会话的编码是对的，显示utf8中文没有问题。

7717060

你有每有strace 一下那进程看她在做什么？

rainbow

没有strace过，感觉是sshd被修改了。

nagaregawa

学习

emmoblin

看看ssh的日志吧。
可能是登录了以后，执行了什么进程了吧？

rainbow

哦， ssh的日志哪里可以看到？ 这个我还真的没有注意哦

hmqq

rpm -V openssh-server
看看文件有没有被改

rainbow

[root@ftpdata local]# rpm -V openssh-server
S.5....T. c /etc/ssh/sshd_config
S.5....TC   /usr/sbin/sshd

md5sum /usr/sbin/sshd 发现给文件的签名已经被修改了。