免费注册	查看新帖 \|


平台论坛博客文库

› 论坛 › 操作系统 › Linux系统管理 › linux下如何确定一个文件是由哪个程序生成的？

最近访问板块

发新帖

查看: 7653 | 回复: 6

上一主题

下一主题

[系统安全] linux下如何确定一个文件是由哪个程序生成的？ [复制链接]

论坛徽章:: 0

电梯直达

跳转到指定楼层

1楼 [收藏(0)] [报告]

发表于 2014-07-09 11:30 |只看该作者 |倒序浏览

大家好，我的redhat系统下/tmp 下面最近总是生成两个隐藏的可执行文件 .air .sir，不知被什么东西带起来的，估计是被黑了，

这两个隐藏文件会被生成后启动，跟外网还有通信，删除也没用，一会还会出现，请问我改如何定位是谁生成的啊！该如何解决啊！

文库|博客

论坛徽章:: 15

射手座
日期:2014-02-26 13:45:08

2015年迎新春徽章
日期:2015-03-04 09:54:45

2015年辞旧岁徽章
日期:2015-03-03 16:54:15

羊年新春福章
日期:2015-02-26 08:47:55

2015年亚洲杯之卡塔尔
日期:2015-02-03 08:33:45

射手座
日期:2014-12-31 08:36:51

水瓶座
日期:2014-06-04 08:33:52

天蝎座
日期:2014-05-14 14:30:41

天秤座
日期:2014-04-21 08:37:08

处女座
日期:2014-04-18 16:57:05

戌狗
日期:2014-04-04 12:21:33

技术图书徽章
日期:2014-03-25 09:00:29

2楼 [报告]

发表于 2014-07-09 12:24 |只看该作者

部署audit监控。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 33

荣誉会员
日期:2011-11-23 16:44:17

天秤座
日期:2014-08-26 16:18:20

天秤座
日期:2014-08-29 10:12:18

丑牛
日期:2014-08-29 16:06:45

丑牛
日期:2014-09-03 10:28:58

射手座
日期:2014-09-03 16:01:17

寅虎
日期:2014-09-11 14:24:21

天蝎座
日期:2014-09-17 08:33:55

IT运维版块每日发帖之星
日期:2016-04-17 06:23:27

操作系统版块每日发帖之星
日期:2016-04-18 06:20:00

IT运维版块每日发帖之星
日期:2016-04-24 06:20:00

15-16赛季CBA联赛之天津
日期:2016-05-06 12:46:59

3楼 [报告]

发表于 2014-07-09 13:03 |只看该作者

lsof 可以查看当前打开的所有fd. 如果这两个文件正在被打开, 应该可以看到.

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

4楼 [报告]

发表于 2014-07-09 16:18 |只看该作者

首先试一下lsof，看是什么情况。

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

5楼 [报告]

发表于 2014-07-10 09:17 |只看该作者

[root@ora39 tmp]# lsof | grep /tmp/.air
.air 31779 root txt REG 253,1 1135000 97923 /tmp/.air

我用上面的操作来查看是否有进程打开 .air文件，没发现什么东西啊， .air是个二进制可执行文件，应该是被某个进程调用起来的，这个得怎么查呀？？

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 33

ChinaUnix元老
日期:2015-02-02 08:55:39

CU十四周年纪念徽章
日期:2019-08-20 08:30:37

20周年集字徽章-周
日期:2020-10-28 14:13:30

20周年集字徽章-20
日期:2020-10-28 14:04:30

19周年集字徽章-CU
日期:2019-09-08 23:26:25

19周年集字徽章-19
日期:2019-08-27 13:31:26

2016科比退役纪念章
日期:2022-04-24 14:33:24

6楼 [报告]

发表于 2014-07-10 09:34 |只看该作者

把文件 .air 删掉
创建一个文件夹也叫做 .air
试试

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

论坛徽章:: 0

7楼 [报告]

发表于 2014-07-10 15:28 |只看该作者

照楼上说的，我把 .air 这个进程kill掉了，然后删了.air这个文件，又建了一个.air，现在没发现什么情况。

这说明调用.air那个进程再次调用的时候发现.air已经没有，但是仍然然查不出是谁调用的.air呀

实战分享：从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线！ | 新一代分布式关系型数据库RadonDB知多少？

发新帖

Chinaunix › 论坛 › 操作系统 › Linux系统管理 › linux下如何确定一个文件是由哪个程序生成的？

北京盛拓优讯信息技术有限公司. 版权所有京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号：11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员联系我们：huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP