• Willkommen im Linux Club - dem deutschsprachigen Supportforum für GNU/Linux. Registriere dich kostenlos, um alle Inhalte zu sehen und Fragen zu stellen.

"komischer" prozess

AlienXing

Newbie
Hi!

ich hab nach dem starten von suse 9.1 was eigenartiges:

wenn ich mir mit TOP in der konsole die pozesse anschau die gerade laufen, dann hab ich an erster stelle einen prozess der zwischen 10 und 20 % meiner cpu braucht. bei genauerer betrachtung hat dieser prozess den eigentümer "nobody" und der macht ein "find". hab keine ahnung was das sein soll, nehme aber an daß es was mit dem samba server zutun hat, da der ja ein nobody (guest) kennt.....

bitte korrigiert mich wenn ich jetzt im ganz falschen forum bin...
is ja nur eine vermutung

danke vorab für die hilfe

mfg
alienxing
 

nobbiew

Hacker
Meld dich als root an und schau mit
Code:
ps -ef | grep find
nach wie der Befehl genau lautet. Evtl. gibt das aufschluss darüber, was gerade abläuft
 

oc2pus

Ultimate Guru
wahrscheinlich läuft gerade der cron.daily und räumt auf bzw erstellt Sicherungen, ...
 
ich fürchte, es könnte auch ein Angriff auf den Rechner sein. Ich habe das jetzt schon zum zweiten Mal bemerkt, weil meine Festplatten wie doll rödelten, obwohl ich keinen eigenen wesentlichen Zugriff gestartet habe. Über die Prozesstabelle habe ich beim ersten Mal auch den durch nobody gestarteten find Befehl entdeckt und die Verbindung zum Internet gekappt. Danach waren auch Aktionen durch nobody beendet. Gestern habe ich aus gleichem Grunde wieder die Prozesstabelle aufgerufen und wieder nobody gefunden. Der läuft auch unter Benutzerprozesse und nicht unter Systemprozesse. Zudem hatte mein nobody bei mir ganz offenbar den su Befehl eingegeben. Ich habe die Verbindung sofort gekappt. Als ich als normaler User anschließend die Prozesse killen wollte, meldete mir mein PC, ich hätte nicht die nötigen Rechte. Habe dann als root über die Konsole mit der PID killen wollen - da gab es die Prozesse aber nicht mehr. Habe dann in verschiedenen Logs unter /var/logs gesucht, was genau find suchen sollte oder wie der Su-Zugriff erfolgte, fand aber wohl das passende Log nicht. Ist schon doof, wenn man sich noch nicht richtig auskennt! Ich bin etwas frustriert - weil ich von Anfang an eine Firewall von Suse 9.1 prof. laufen habe. Leider hab ich noch keine Ahnung, wie ich Linux so sicher einstellen kann, wie Windows. Ich fürchte, mein System ist mit Linux im Moment noch so offen für Sicherheitsangriffe wie ein Scheunentor. Falls jemand mir, einem noch unerfahrenen Linuxuser, konkret sagen kann, was ich in diesem Bereich machen kann - das wäre toll! Eine lapidare Info, man müsse die Firewall richtig einstellen, wäre mir keine große Hilfe - mir geht es um das Wie. Wie kann ich beispielsweise ssh und andere Zugriffe von aussen abschalten? Ich habe kein privates Netzwerk und gehe nur über ADSL ins Netz.
 
habe gerade in der Datei /var/log/messages etwas gefunden! Weiß jemand, was das genau bedeuted?

Nov 13 06:01:31 linux su: (to nobody) root on none
Nov 13 06:01:31 linux su: pam_unix2: session started for user nobody, service su

Nov 13 06:05:22 linux su: pam_unix2: session finished for user nobody, service su

Gruß,
Christian
 

RG

Member
Hallo,

also das find ist völlig normal!
find durchsucht die HDD und wird von mandb benötigt. Es wird tatsächlich von cron.daily gestartet! Warum es als User nobody läuft? Weiß ich auch nicht ganz sicher! Ich vermute das es was mit den Rechten zu tun hat. Als root wärs wohl übertrieben! Find ansich braucht aber root Rechte damit es alle Verzeichnisse abklappern kann!
Wozu brauchen wir mandb?
Mandb ist eine Datenbank, in der alle Programme und Datein verzeichnet sind - und was bringt uns das?
Wenn wir mit locate ein Programm oder eine Datei suchen, werden wir sehr schnell fündig.
z.B.:

Im Terminalfenster:
locate mandb (+enter)

und es zeigt wo überall ein mandb zu finden ist.

Das ist der ganze spuk ;-)

Also kein Angriff oder Hack!

Ich benutze gern locate, da es mir schnell und zuverlässig auch programme anzeigt!

Schönen Gruß
RG
 
Hallo RG,

Danke für den Tipp. Ich werd´ mich jetzt erst mal mit diesem Cron Daemon befassen. Mit mandb habe ich mich jetzt schon befasst - der ist für die man Seiten. Vielleicht läuft ja auch updatedb für locate - ich werd es herausfinden, wenn ich weiß, wie cron funktioniert.

Gruß,
Christian
 

nobbiew

Hacker
@RG
Das ganze hat nur einen Haken. Bei SuSE 9.1 wird das ganze erst mal nicht mitinstalliert. Da musst du schon selber tätig werden, damit das wieder Funktioniert.
@Christian Menke:
Also denk mal nach, hast du das mitinstalliert u. auch aktiviert?. Und du hast recht es heißt nicht mandb sondern updatedb u. in Yast kannst du auch angeben unter welcher Kennung der Prozeß laufen soll. Und noch was. Wenn´s tatsächlich das ist, dann sollte, das ganze immer zur gleichen Zeit laufen.
 

RG

Member
Hallo,

sorry ja stimmt es heißt updatedb - wie komme ich nur auf mandb?!?!? sorry!

Aber bei der 9.1 ist es schon automatisch mit installiert worden - bei mir zumindest. Ich habe die 9.1 Prof. und da läuft das find auch einmal täglich...

Also das ist mir schon ein Rätsel, wie komme ich nur auf mandb..... naja- sagen wir einfach mal ... Das Alter :D :D

schönen Gruß
RG
 
Habe mir meine crontabs angesehen - nur in cron.daily sind überhaupt Scripte. Nur in updatedb ist ein Hinweis auf den User nobody. Aber auch da finde ich die Aufrufe für su und find nicht.

# avoid error messages from updatedb when using user nobody for find.
cd /

PARAMS="`test -n "$RUN_UPDATEDB_AS" && \
fgrep localuser /usr/bin/updatedb > /dev/null && \
echo --localuser=$RUN_UPDATEDB_AS`"

PARAMS="$PARAMS `test -n "$UPDATEDB_PRUNEPATHS" && \
echo --prunepaths=\'$(eval echo $UPDATEDB_PRUNEPATHS)\'`"

PARAMS="$PARAMS `test -n "$UPDATEDB_NETUSER" && \
echo --netuser=$UPDATEDB_NETUSER`"

PARAMS="$PARAMS `test -n "$UPDATEDB_NETPATHS" && \
echo --netpaths=\'$(eval echo $UPDATEDB_NETPATHS)\'`"

PARAMS="$PARAMS `test -n "$UPDATEDB_PRUNEFS" && \
echo --prunefs=\'$(eval echo $UPDATEDB_PRUNEFS)\'`"

eval nice -n 19 /usr/bin/updatedb $PARAMS 2> /dev/null
fi

Wird das noch durch andere Konfigurationsdateien gesteuert, oder könnte sich doch jemand unter dem vermeintlich harmlosen Pseudonym "nobody" eingeschlichen haben?

Und RG: mandb ist doch richtig, das Script läuft bei mir auch täglich - allerdings ist im Script kein Hinweis auf nobody zu finden.

Gruß,
Christian
 

taki

Advanced Hacker
Hallo.
Ich muss diesen Thread mal aus dem Mief der Vergessenheit ziehen, weil ich genauso wie der Vorposter erst mal einen Schreck bekam und an einen Angriff dachte :oops: ...

Ich fasse mal zusammen, was ich herausbekommen habe. Das sollte zur Beruhigung reichen. Keine Verschwörung, kein Einbruch, alles normal :p

Der Crontab-Eintrag für die Cronjobs des Systems unter /etc/crontab.

Daraus ergibt sich, dass virtelstündlich das Skript /usr/lib/cron/runcrons ausgeführt wird, welches wiederum prüft, ob die Skripte aus den Verzeichnissen /etc/cron.hourly, /etc/cron.daily, /etc/cron.weekly und /etc/cron.monthly auszuführen sind.

Wenn der Rechner zur vorgesehenen Zeit nicht eingeschaltet war (oder crond da nicht lief), werden die Jobs zu einem späteren Zeitpunkt ausgeführt. Daraus können sich dann unterschiedliche Zeitpunkte ergeben, zu denen die Meldung in /var/log/messages auftaucht.

Der Job, der richtig auffällt, weil er leider das System sehr stark belastet, ist (wie oben schon genannt) updatedb.
 
Oben