จะค้นหาแหล่งที่มาของกระบวนการวางไข่ได้อย่างไร

ฉันมีกระบวนการ Java ที่ทำงานบนอินสแตนซ์ RedHat Linux

ปัญหาคือมันปรากฏขึ้นอีกครั้งหลังจากที่ฉันฆ่ามัน ฉันไม่แน่ใจว่าจะมองที่ไหน ฉันไป crontab แล้ว แต่ไม่มีโชค

ฉันดู PPID แล้ว แต่มันก็ชี้ไปที่ init (1)

ความคิดใดที่ฉันสามารถค้นหาแหล่งที่มา?

มีความเป็นไปได้มากมาย (บางคนกล่าวถึงในคำตอบอื่น ๆ ):

1. ระบบหรือผู้ใช้ cronjob ที่ทำงานบ่อยครั้ง
2. ใน SysV init /etc/inittabรายการสำหรับบริการที่มีrespawnคำสั่ง
3. ใน systemd แฟ้มหน่วยกับRestartชุดตัวเลือกที่จะเป็นค่าอื่นนอกเหนือno,
4. ใน Upstart ไฟล์การกำหนดค่าบริการที่มีrespawnคำสั่ง
5. เครื่องมือตรวจสอบกระบวนการเช่นmonitหรือ
6. กระบวนการเฝ้าระวังแบบเฉพาะกิจสำหรับบริการเฉพาะนั้น

ใหม่ (ลินุกซ์เท่านั้น) เครื่องมือที่น่าสนใจที่จะให้เข้าใจมากขึ้นว่ากระบวนการจะถูกเริ่มต้นเป็นsysdig

Sysdig ใช้ tracepoint straceลินุกซ์เคอร์เนลคุณสมบัติเพื่อให้ปริมาณสิ่งที่ได้อย่างรวดเร็วทั้งระบบ

ตัวอย่างเช่นหากฉันต้องการเห็นทุกกระบวนการเริ่มต้นlsฉันสามารถออก:

sudo sysdig evt.type=execve and evt.arg.exe=ls

เมื่อlsทำงานที่ไหนฉันจะได้รับข้อความเช่นนี้:

245490 16:53:54.090856066 3 ls (10053) < execve res=0 exe=ls args=--color=auto. tid=10053(ls) pid=10053(ls) ptid=9204(bash) cwd=/home/steved fdlimit=1024 pgft_maj=0 pgft_min=37 vm_size=412 vm_rss=4 vm_swap=0 env=...

ฉันตัดทอนข้อมูลสภาพแวดล้อมที่ส่งคืน แต่อย่างที่คุณเห็นใน ptid ฉันเห็นชื่อและ pid ของโปรแกรมที่เรียกใช้ execve execveคือการเรียกระบบที่ใช้ใน Linux ที่ใช้ในการดำเนินการคำสั่งใหม่

pstreeผมเชื่อว่าคุณสามารถใช้ คุณสามารถระบุคำสั่งเป็น

pstree -p PID

ด้านบนจะให้รายการของผู้ปกครองทั้งหมดของแอปพลิเคชัน java

คุณสามารถดู PPID ของมัน (ID กระบวนการหลัก):

$ ps -eo pid,ppid,args | grep java

เมื่อคุณได้รับ PPID (คอลัมน์ที่สอง) ของกระบวนการ Java ของคุณแล้วให้ใช้psอีกครั้งเพื่อค้นหากระบวนการที่เกี่ยวข้อง:

$ ps -p [PPID]

แก้ไข : หากพาเรนต์คือ 1 (init) ดังนั้นพาเรนต์แรกของกระบวนการ Java ของคุณจะเสียชีวิตหลังจาก "ให้กำเนิด" (น่าเศร้า) ด้วยเหตุนี้คุณจึงไม่สามารถใช้ลำดับชั้นกระบวนการปัจจุบันเพื่อค้นหาได้ ps -efสิ่งแรกที่ผมจะแนะนำให้คุณที่จะทำคือการตรวจสอบ คุณอาจพบผู้กระทำผิดเพียงแค่อ่านผลลัพธ์

จากนั้นดูที่ crontabs (คุณทำไปแล้ว แต่จะไม่เจ็บ):

$ for user in $(cut -f1 -d: /etc/passwd); do echo $user; crontab -u $user -l; done

^{สิ่งนี้จะต้องใช้สิทธิ์รูท}

ยังไม่เห็นกำหนดการของกระบวนการ Java ใช่หรือไม่ แดงมัน ลองทำอย่างอื่นดู หากกระบวนการ Java ของคุณมีอยู่ตั้งแต่เริ่มระบบให้ดูที่โปรแกรม scheluded ณ เวลาบูต ฉันขอแนะนำบางอย่างเช่น ...

$ grep -iR java /etc/rc*

หากคุณยังไม่พบอะไรเลย ... ดีฉันยอมรับว่าฉันไม่มีความคิด คุณควรดูอีกครั้งps -efและค้นหากระบวนการที่เกี่ยวข้องกับโปรแกรมที่ใช้ Java คุณควรเจอดีมอนหรือ "ตัวเรียกใช้" ซึ่งรับผิดชอบกระบวนการตอบสนองอย่างต่อเนื่องของกระบวนการ Java ของคุณ

หากคุณไม่ทราบว่าใครเป็นผู้ปกครองคุณควรติดตามระบบบางอย่างเช่นauditd

คุณเปิดใช้งานการบันทึกด้วย:

auditctl -a exit,always -S execve -F path=/usr/bin/rrdtool

และจากนั้นในการ/var/log/audit/audit.logค้นหาบรรทัดเช่น:

type=SYSCALL msg=audit(1414027338.620:6232): arch=c000003e syscall=59
success=yes exit=0 a0=7fdea0e4db23 a1=7fffec7c5220 a2=7fffec7c87d0
a3=7fdea1b559d0 items=2 ppid=17176 pid=18182 auid=1000 uid=1000 gid=1000 
euid=1000 suid=1000 fsuid=1000 egid=1000 sgid=1000 fsgid=1000 tty=pts8 
ses=2 comm="sh" exe="/bin/dash" key=(null)

(แบ่งออกเป็นหลายบรรทัดเพื่อให้อ่านง่าย) คุณสนใจexe="/bin/dash"และ / หรือpid=18182ระบุกระบวนการสีแดงของคุณที่คุณต้องการค้นหาและppid=17176ระบุตัวตนของแม่ที่ดำเนินการ