亚洲av成人无遮挡网站在线观看,少妇性bbb搡bbb爽爽爽,亚洲av日韩精品久久久久久,兔费看少妇性l交大片免费,无码少妇一区二区三区

Chinaunix

標題: linux下如何確定一個文件是由哪個程序生成的？ [打印本頁]

作者: wang_qiao_ying 時間: 2014-07-09 11:30
標題: linux下如何確定一個文件是由哪個程序生成的？
大家好，我的redhat系統(tǒng)下/tmp 下面最近總是生成兩個隱藏的可執(zhí)行文件 .air .sir，不知被什么東西帶起來的，估計是被黑了，

這兩個隱藏文件會被生成后啟動，跟外網(wǎng)還有通信，刪除也沒用，一會還會出現(xiàn)，請問我改如何定位是誰生成的��！該如何解決��！

作者: humjb_1983 時間: 2014-07-09 12:24
部署audit監(jiān)控。

作者: q1208c 時間: 2014-07-09 13:03
lsof 可以查看當(dāng)前打開的所有fd. 如果這兩個文件正在被打開, 應(yīng)該可以看到.

作者: er12341 時間: 2014-07-09 16:18
首先試一下lsof，看是什么情況。

作者: wang_qiao_ying 時間: 2014-07-10 09:17
[root@ora39 tmp]# lsof | grep /tmp/.air
.air 31779 root txt REG 253,1 1135000 97923 /tmp/.air

我用上面的操作來查看是否有進程打開 .air文件，沒發(fā)現(xiàn)什么東西啊， .air是個二進制可執(zhí)行文件，應(yīng)該是被某個進程調(diào)用起來的，這個得怎么查呀？？

作者: Shell_HAT 時間: 2014-07-10 09:34
把文件 .air 刪掉
創(chuàng)建一個文件夾也叫做 .air
試試

作者: wang_qiao_ying 時間: 2014-07-10 15:28
照樓上說的，我把 .air 這個進程kill掉了，然后刪了.air這個文件，又建了一個.air，現(xiàn)在沒發(fā)現(xiàn)什么情況。

這說明調(diào)用.air那個進程再次調(diào)用的時候發(fā)現(xiàn).air已經(jīng)沒有，但是仍然然查不出是誰調(diào)用的.air呀

歡迎光臨 Chinaunix (http://www.72891.cn/)