স্পোনিং প্রক্রিয়ার উত্স কীভাবে সন্ধান করবেন?

আমার একটি জাভা প্রক্রিয়া একটি রেডহ্যাট লিনাক্স ইনস্ট্যান্সে চলছে।

সমস্যাটি হ'ল আমি এটি মেরে ফেলার পরে এটি আবার প্রদর্শিত হতে থাকে। আমি কোথায় তাকান তা নিশ্চিত নই। আমি ইতিমধ্যে crontab গিয়েছিলাম, কিন্তু ভাগ্য নেই।

আমি পিপিআইডি দেখেছি, তবে এটি সূচনা করে (1)।

কোন ধারণা কীভাবে আমি উত্সটি খুঁজে পেতে পারি?

অনেকগুলি সম্ভাবনা রয়েছে (কিছু অন্যান্য উত্তরে উল্লিখিত):

1. একটি সিস্টেম বা ব্যবহারকারী ক্রোনজব প্রায়শই সম্পাদন করে,
2. SysV init- /etc/inittabএ respawnনির্দেশের সাথে পরিষেবাটির জন্য একটি এন্ট্রি ,
3. সিস্টেমে, Restartবিকল্পের সাথে একটি ইউনিট ফাইল অন্য মানকে সেট করে no,
4. আপস্টার্টে, respawnনির্দেশ সহ একটি পরিষেবা কনফিগারেশন ফাইল ,
5. একটি প্রক্রিয়া পর্যবেক্ষণ সরঞ্জাম যেমন monit, বা
6. নির্দিষ্ট পরিষেবার জন্য একটি অ্যাডহক ওয়াচডগ প্রক্রিয়া।

একটি আকর্ষণীয় নতুন (লিনাক্স-কেবল) সরঞ্জাম যা প্রক্রিয়াটি শুরু হচ্ছে সেখানে আরও অন্তর্দৃষ্টি প্রদান করতে পারে সিজডিগ ।

সিসডিগ লিনাক্স কার্নেলের ট্র্যাসপয়েন্ট বৈশিষ্ট্যগুলি ব্যবহার করে যা দ্রুত, সিস্টেম প্রশস্তের পরিমাণে সরবরাহ করতে পারে strace।

উদাহরণস্বরূপ, আমি যদি প্রতিটি প্রক্রিয়া শুরু দেখতে চাইতাম তবে আমি lsইস্যু করতে পারি:

sudo sysdig evt.type=execve and evt.arg.exe=ls

যখন lsকোথাও চালানো হবে, আমি এই জাতীয় বার্তা পাব:

245490 16:53:54.090856066 3 ls (10053) < execve res=0 exe=ls args=--color=auto. tid=10053(ls) pid=10053(ls) ptid=9204(bash) cwd=/home/steved fdlimit=1024 pgft_maj=0 pgft_min=37 vm_size=412 vm_rss=4 vm_swap=0 env=...

আমি প্রত্যাবর্তিত পরিবেশের তথ্যগুলি কেটেছিলাম, তবে আপনি দেখতে পাচ্ছেন, পিটিএডে আমি প্রোগ্রামটির নাম এবং পিড দেখতে পাচ্ছি ve execveলিনাক্সে ব্যবহৃত নতুন সিস্টেম কলটি নতুন কমান্ডগুলি কার্যকর করতে ব্যবহৃত হয় (সমস্ত এক্সিকিউটিভ কলগুলি কার্যকর করার জন্য কেবল সামনের অংশ)।

আমি বিশ্বাস করি আপনি ব্যবহার করতে পারেন pstree। আপনি কমান্ডটি হিসাবে নির্দিষ্ট করতে পারেন,

pstree -p PID

উপরেরটি আপনাকে জাভা অ্যাপ্লিকেশনগুলির সমস্ত পিতামাতার একটি তালিকা দেবে।

আপনি এর পিপিআইডি (প্যারেন্ট প্রসেস আইডি) এ একবার দেখতে পারেন:

$ ps -eo pid,ppid,args | grep java

একবার আপনি আপনার জাভা প্রক্রিয়ার পিপিআইডি (দ্বিতীয় কলাম) পেয়ে গেলে psসম্পর্কিত প্রক্রিয়াটি খুঁজে পেতে আবার ব্যবহার করুন :

$ ps -p [PPID]

সম্পাদনা করুন : যদি পিতামাতার বয়স 1 (আরম্ভ) হয় তবে আপনার জাভা প্রক্রিয়ার প্রথম পিতামাতার "জন্ম দেওয়ার পরে" মারা গেল (কতটা দুঃখজনক)। সে কারণে আপনি এটি সন্ধানের জন্য বর্তমান প্রক্রিয়া শ্রেণিবিন্যাসটি ব্যবহার করতে পারবেন না। আমি আপনাকে প্রথমে যা করতে পরামর্শ দিচ্ছি তা হল চেক করা ps -ef। আপনি কেবল আউটপুট পড়েই অপরাধীকে খুঁজে পেতে পারেন।

তারপরে, ক্রোনট্যাবগুলি একবার দেখুন (আপনি এটি ইতিমধ্যে করেছিলেন তবে এটি ক্ষতি করবে না):

$ for user in $(cut -f1 -d: /etc/passwd); do echo $user; crontab -u $user -l; done

^{এর জন্য রুট সুবিধার দরকার হবে।}

এখনও একটি জাভা প্রক্রিয়া নির্ধারিত দেখতে পাচ্ছেন না? ধূর. আসুন অন্য কিছু চেষ্টা করুন। যদি আপনার জাভা প্রক্রিয়া বুট হওয়ার পরে উপস্থিত থাকে তবে বুটের সময় স্কেমেড প্রোগ্রামগুলি দেখুন। আমি এরকম কিছু প্রস্তাব দেব ...

$ grep -iR java /etc/rc*

আপনি যদি এখনও কিছু না পান তবে ... ভাল আমি স্বীকার করি আমি ধারণা থেকে দূরে চলেছি। আপনার ps -efজাভা-ভিত্তিক প্রোগ্রামগুলির সাথে যুক্ত প্রসেসগুলি সত্যই অন্য দিকে নজর দেওয়া উচিত । আপনার জাভা প্রক্রিয়াটির ধ্রুবক পুনর্বিবেচনার জন্য দায়বদ্ধ একটি ডেমন বা "লঞ্চার" জুড়ে আসা উচিত।

তোমরা যারা পিতা বা মাতা জানি না, তাহলে আপনি মত কিছু সিস্টেম রেখক উচিত auditd

আপনি এর সাথে লগিং সক্ষম করবেন:

auditctl -a exit,always -S execve -F path=/usr/bin/rrdtool

এবং তারপরে /var/log/audit/audit.logলাইনগুলি সন্ধান করুন:

type=SYSCALL msg=audit(1414027338.620:6232): arch=c000003e syscall=59
success=yes exit=0 a0=7fdea0e4db23 a1=7fffec7c5220 a2=7fffec7c87d0
a3=7fdea1b559d0 items=2 ppid=17176 pid=18182 auid=1000 uid=1000 gid=1000 
euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts8 
ses=2 comm="sh" exe="/bin/dash" key=(null)

(পাঠযোগ্যতার জন্য একাধিক লাইনে বিভক্ত)। আপনি আগ্রহী exe="/bin/dash"এবং / বা pid=18182যা আপনার রাউজ প্রক্রিয়াটি সন্ধান করতে চান এবং ppid=17176এটি নির্বাহকারী পিতামাতাকে চিহ্নিত করে।