摩托學園討論區

[huki]

今天早上一大早起來想說上個網
沒想到執行到一半時
突然系統負載爆增><"
馬上看是不是執行了什麼程式
其中在ps aux裡看到這一行
nobody 1232 1.2 0.2 1528 708 ? TN 06:25 0:05 /usr/bin/find / ( -fstype NFS -o -fstype nfs -o -fstype afs -o -fstype proc -o -fstype smbfs -o -fstype autofs -o -fstype iso9660 -o -fstype ncpfs -o -fstype coda -o -fstype devpts -o -fstype ftpfs -o -fstype devfs -o -fstype mfs -o -type d -regex \(^/tmp$\)\|\(^/usr/tmp$\)\|\(^/var/tmp$\)\|\(^/afs$\)\|\(^/amd$\)\|\(^/alex$\)\|\(^/var/spool$\)\|\(^/sfs$\) ) -prune -o -print
這是被hack嗎？
還是？
麻煩各位大大幫幫小弟，謝謝

[huki]

我在我的/var/log/auth.log裡看到
Sep 26 06:25:02 debian su[428]: + ??? root-nobody
Sep 26 06:25:02 debian su(pam_unix)[428]: session opened for user nobody by (uid=0)
Oct 4 06:25:02 debian su[429]: + ??? root-nobody
Oct 4 06:25:02 debian su(pam_unix)[429]: session opened for user nobody by (uid=0)
Oct 6 06:25:02 debian su[508]: + ??? root-nobody
Oct 6 06:25:02 debian su(pam_unix)[508]: session opened for user nobody by (uid=0)
Oct 31 06:25:03 debian su[1374]: + ??? root-nobody
Oct 31 06:25:03 debian su(pam_unix)[1374]: session opened for user nobody by (uid=0)
Nov 12 06:25:03 debian su[1232]: + ??? root-nobody
Nov 12 06:25:03 debian su(pam_unix)[1232]: session opened for user nobody by (uid=0)

[huki]

在/etc/passwd裡也發現有
nobody這個人

[d2207197]

nobody 本來就是有的吧.....|||

很多程式做事情....都會用到 nobody

你去 crontab,cron.d 找找看看有沒有 類似你的訊息的東西

[huki]

沒有啊！~~~~~
我確定沒有啊！
cron相關的我都查過了~~~~

[twu2]

那個 find 的動作看起來像是 anacron 中的某一個.
應該在 /etc/cron.daily 內.

[Tetralet]

您的問題和 viewtopic.php?t=2297 這一篇似乎是相同的問題呢！

[huki]

不好意思~~~~
原來是自己沒有看這篇文章
抱歉囉！