Linux 서버에는 다음과 같은 로그 메시지가 많이 있습니다.
Jul 17 09:22:34 sweden sudo[3631848]: pam_unix(sudo:auth): auth could not identify password for [myuser]
Jul 17 09:22:34 sweden sudo[3631848]: pam_sss(sudo:auth): authentication failure; logname= uid=30044 euid=0 tty= ruser=myuser rhost= user=myuser
Jul 17 09:22:34 sweden sudo[3631848]: pam_sss(sudo:auth): received for user myuser: 7 (Authentication failure)
Jul 17 09:22:35 sweden sudo[3631849]: pam_unix(sudo:auth): Couldn't open /etc/securetty: No such file or directory
Jul 17 09:22:35 sweden sudo[3631849]: pam_unix(sudo:auth): conversation failed
그것들은 방금 저널에 넘쳐나는 알 수 없는 프로그램에 의해 생성되었습니다. ~500ms마다 새 프로세스가 생성되지만 원본(명령 또는 상위 프로세스)을 식별할 수 없습니다.
SIGSTOP수명이 매우 짧고 항상 PID를 변경하는 프로세스를 어떻게 중지( )할 수 있습니까 ?
나는 그것을 보려고 시도했지만 watch -n0.1 'ps fuxww'아무것도 나타나지 않았습니다.
답변1
실행 중인 프로세스를 찾고
myuser해당 역할을 조사합니다.crontab -u myuser -l실행 중인 cron 작업이 있는지 확인하려면 실행하세요sudo(crontab 항목에서 직접 또는 cron에서 실행되는 스크립트에서).grep myuser /etc/crontab /etc/cron*/*시스템 크론 작업이 있는 경우myuser.실행하여 대기열에 있는 작업이
atq있는지 확인합니다at.또한
~myuser/.config/systemd/user/시스템 타이머 작업이 예약되어 있는지 확인하세요.grep -r pam_securetty /etc/pam.d/파일이 없을 때 securetty/etc/securetty(*) 를 사용하도록 구성된 pam 서비스를 찾으려면 실행하세요 .sudo인증 로그 메시지, 다른 메시지, 파일 중 하나를 생성하기 때문에 그 중 하나가 될 것입니다/etc/pam.d/common-*.
(*) /etc/securetty허용되는 ttys 루트 로그인을 제한하는 데 사용됩니다.