[gull] intrusion?
Daniel Cordey
dc at mjt.ch
Mon Jan 10 17:08:03 CET 2005
On Monday 10 January 2005 16:53, Vuko Brigljevic wrote:
> L'output de top (voir ci-dessous) me parait tres suspect: le resume
> au sommet indique qu'une fraction importante de la CPU, environ 50%,
> est utiliseee par le systeme, ce qui est plutot difficile a expliquer
> en regardant la liste des proces, tous utilisent tres peu de CPU
> et la somme des proces visible n'arrive certainement pas a 50%.
>
> Cela pourrait-il indiquer une intrusion ou quelqu'un verrait-il
> une explication plus rassurante a cette aparente inconsistance?
Je penche pour des transferts de memoire a memoire. Ceci peut-etre induit par
des tables de routage (+iptable) complexe sur un systeme servant de gateway
entre plusieurs reseaux, ou encore de buffer-cache a user-space... Ca peut
aussi etre un probleme de driver... plein de choses sont helas possibles.
> Etant donne que certaines intrusions cachent leurs processus
> en remplacant ps (quoique cela ne semble pas etre le cas chez
> moi d'apres l'output de "rpm -V ps-<version>, mais rpm pourrait
> etre corrompu lui-meme), ce qui pourrait expliquer qu'aucun
> processus suspect n'aparaisse dans la liste.
Possible,
> J'ai regarde egalement dans les fichier /proc/<no_de_proces>/cpu
> pour voir si je trouvais un proces qui utilise beaucoup de CPU
Top te donne deja une bonne indication. Un bon outil que j'utilise en lieu et
place de top est 'qps'; beaucoup plus detaille que top et permet d'effectuer
un tri en fonction de differents criteres.
dc
More information about the gull
mailing list