nie dzia

tonyB · Post autor: **tonyB** » 07 czerwca 2009, 10:48

Witam.
Od jakiegoś czasu na serwerze nie działają niektóre polecenia m.in.,,ps'' czy ,,top''.
Wywołując polecenie po prostu nic się nie dzieje:

Kod: Zaznacz cały

serwer# ps -A
serwer#

Co może być tego powodem lub jak można je zmusić do działania?
Dodam że teoretycznie nikt poza mną nie loguje się przez ssh.

Pozdrawiam,
Tomek.

faramir · Post autor: **faramir** » 07 czerwca 2009, 14:13

Rozumiem, że próbujesz z roota je uruchamiać?
Ja bym spróbował zainstalować strace:

Kod: Zaznacz cały

apt-get install strace

a później wpisał:

Kod: Zaznacz cały

strace ps -A

i zobaczył, co się stanie?

Czasem problemem, że nie chce się uruchamiać programu to jest limit pamięci, procesów, otwartych deskryptorów, ale raczej tak nie jest w Twoim przypadku (zwłaszcza przy uruchamianiu jako root).

tonyB · Post autor: **tonyB** » 07 czerwca 2009, 16:27

Tak, komendy wywołuję jako root.

Takie mam wywołanie strace:

Kod: Zaznacz cały

server:~# strace ps -A
execve("/bin/ps", ["ps", "-A"], [/* 12 vars */]) = 0
getpid()                                = 9176
open("/proc/9176/exe", O_RDONLY)        = 3
lseek(3, 1588, SEEK_SET)                = 1588
read(3, "\316%\f\321$\33\0\0$\33\0\0", 12) = 12
gettimeofday({1244384629, 695222}, NULL) = 0
unlink("/tmp/upxAZJZCF1AI4Y")           = -1 ENOENT (No such file or directory)
open("/tmp/upxAZJZCF1AI4Y", O_WRONLY|O_CREAT|O_EXCL, 0700) = 4
ftruncate(4, 6948)                      = 0
old_mmap(NULL, 12288, PROT_READ|PROT_WRITE, MAP_PRIVATE|MAP_ANONYMOUS, -1, 0) = 0xf7f75000
read(3, "$\33\0\0l\f\0\0", 8)           = 8
read(3, "\177?d\371\177ELF\1\0\2\0\3\0\r\220\212\4\375o\263\335"..., 3180) = 3180
write(4, "\177ELF\1\1\1\0\0\0\0\0\0\0\0\0\2\0\3\0\1\0\0\0\220\212"..., 6948) = 6948
read(3, "\0\0\0\0UPX!", 8)              = 8
munmap(0xf7f75000, 12288)               = 0
close(4)                                = 0
close(3)                                = 0
open("/tmp/upxAZJZCF1AI4Y", O_RDONLY)   = 3
access("/proc/9176/fd/3", R_OK|X_OK)    = 0
unlink("/tmp/upxAZJZCF1AI4Y")           = 0
fcntl(3, F_SETFD, FD_CLOEXEC)           = 0
execve("/proc/9176/fd/3", ["ps", "-A"], [/* 12 vars */]) = -1 EACCES (Permission denied)
close(3)                                = 0
fork()                                  = 9177
waitpid(-1, NULL, 0)                    = 9177
--- SIGCHLD (Child exited) @ 0 (0) ---
execve("/tmp/upxAZJZCF1AI4Y", ["ps", "-A"], [/* 12 vars */]) = -1 ENOENT (No such file or directory)
unlink("/tmp/upxAZJZCF1AI4Y")           = -1 ENOENT (No such file or directory)
_exit(127)                              = ?
Process 9176 detached

Przyznam, że mi niewiele to mówi, chociaż wydaje mi się że nie jest dobrze.

faramir · Post autor: **faramir** » 07 czerwca 2009, 16:38

Zastanawia mnie ten UPX, dlaczego ps jest spakowany? No i ogólnie dziwnie to wygląda, ale niestety nie jestem w stanie Ci pomóc więcej. Może poszukaj coś na ten (upx w debianie i ps...) temat?

tonyB · Post autor: **tonyB** » 07 czerwca 2009, 17:04

Skopiowałem z innego serwera (też debian ale nowa dystrybucja) wersje tych plików (ps i top) gdzie nie były one spakowane i działają tutaj poprawnie.

Być może to efekt jakiegoś "trojana" który podmienił pliki albo problem z pakerem formatu UPX który przestał działać... Nie znam się.
Nie robiłem kopii tych plików więc nie wiem czy nie zostały "podmienione".

Zastanawiam się czy ktoś ma także te pliki spakowane...

Dzieki w każdym razie za pomoc i pozdrawiam.