[gull] intrusion?

Vuko Brigljevic Vuko.Brigljevic at cern.ch
Mon Jan 10 16:55:05 CET 2005 

L'output de top (voir ci-dessous) me parait tres suspect: le resume
au sommet indique qu'une fraction importante de la CPU, environ 50%,
est utiliseee par le systeme, ce qui est plutot difficile a expliquer
en regardant la liste des proces, tous utilisent tres peu de CPU
et la somme des proces visible n'arrive certainement pas a 50%.

Cela pourrait-il indiquer une intrusion ou quelqu'un verrait-il
une explication plus rassurante a cette aparente inconsistance?
Etant donne que certaines intrusions cachent leurs processus
en remplacant ps (quoique cela ne semble pas etre le cas chez
moi d'apres l'output de "rpm -V ps-<version>, mais rpm pourrait
etre corrompu lui-meme), ce qui pourrait expliquer qu'aucun
processus suspect n'aparaisse dans la liste.

J'ai regarde egalement dans les fichier /proc/<no_de_proces>/cpu
pour voir si je trouvais un proces qui utilise beaucoup de CPU
mais je ne suis pas tout a fait sur de la facon de sortir le
pourcentage actuel de la cpu de ces fichiers, dont le format est:

cpu  15 61
cpu0 15 61

Je ne connais pas la signification de ces nombres et une breve
recherche sur google ne m'a pour l'instant pas aide a y voir
plus clair.

Le systeme est une SuSE 9.0.

Merci de tout conseil!

Vuko

top - 15:44:53 up 3 days, 21 min,  6 users,  load average: 0.24, 0.55, 0.81
Tasks: 103 total,   1 running, 101 sleeping,   0 stopped,   1 zombie
Cpu(s):   0.3% user,  48.4% system,   0.0% nice,  51.3% idle
Mem:    513360k total,   495524k used,    17836k free,    45468k buffers
Swap:   530104k total,      448k used,   529656k free,   156856k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
 4419 root      17   0  2640 2636 2104 R  3.2  0.5   0:01.25 top
 2267 root      15   0  274m  18m 4900 S  0.3  3.6  18:17.99 X
 8597 user1     15   0 18668  18m  16m S  0.3  3.6   0:35.82 kdeinit
 8803 user1     16   0 18684  18m  16m S  0.3  3.6   0:57.07 kdeinit
 8811 user1     16   0 20964  20m  18m S  0.3  4.1   0:46.08 kdeinit
 8813 user1     16   0 19508  19m  12m S  0.3  3.8   1:57.32 suseplugger
    1 root      15   0   256  256  220 S  0.0  0.0   0:08.19 init
    2 root      RT   0     0    0    0 S  0.0  0.0   0:00.00 migration_CPU0
    3 root      15   0     0    0    0 S  0.0  0.0   0:00.34 keventd
    4 root      34  19     0    0    0 S  0.0  0.0   0:00.00 ksoftirqd_CPU0
    5 root      15   0     0    0    0 S  0.0  0.0   0:13.07 kswapd
    6 root      25   0     0    0    0 S  0.0  0.0   0:00.00 bdflush
    7 root      16   0     0    0    0 S  0.0  0.0   0:45.70 kupdated
    8 root      16   0     0    0    0 S  0.0  0.0   0:00.04 kinoded
    9 root      25   0     0    0    0 S  0.0  0.0   0:00.00 mdrecoveryd
   12 root      15   0     0    0    0 S  0.0  0.0   0:04.11 kreiserfsd
  427 root      19   0     0    0    0 S  0.0  0.0   0:00.00 kcopyd
  450 root       0 -20     0    0    0 S  0.0  0.0   0:00.00 lvm-mpd
  867 root      15   0     0    0    0 S  0.0  0.0   0:00.00 afs_rxlistener
  869 root      15   0     0    0    0 S  0.0  0.0   0:00.00 afs_callback
  871 root      15   0     0    0    0 S  0.0  0.0   0:00.04 afs_rxevent
  873 root      15   0     0    0    0 S  0.0  0.0   0:00.01 afsd
(...)

===========================================================|
 Vuko Brigljevic                                           |
 Rudjer Boskovic Institute                                 |
 --------------------------------------------------------- |
 Mail Address: Bijenicka cesta 54, P.O.B. 180              |
               10002 Zagreb Croatia                        |
 Phone       : +385-1- 468 0204                            |
 www         : http://cern.ch/vuko                         |
===========================================================|
One Word to rule them all, One Explorer to find them,
One Windows to bring them all and in the darkness bind them

More information about the gull mailing list