[gull] intrusion?

Martial Guex m.guex at mutech.ch
Mon Jan 10 18:57:02 CET 2005 

J'ai remarqué que le processus famd de temps en temps crée une charge système 
importante tout en n'utilisant que peux de CPU en espace utilisateur. Ceci 
apparait surtout en cas d'activité disque importante comme la création d'une 
image iso.
Ceci est probablement lié au système dnotify ou inotify du kernel permetant 
d'être informé des modifications apportées au fichiers d'un dossier.
Essaie de stopper le prcessus. Fam est principalement utilisé par gnome.
A+
Martial Guex

On Monday 10 January 2005 16.53, Vuko Brigljevic wrote:
> L'output de top (voir ci-dessous) me parait tres suspect: le resume
> au sommet indique qu'une fraction importante de la CPU, environ 50%,
> est utiliseee par le systeme, ce qui est plutot difficile a expliquer
> en regardant la liste des proces, tous utilisent tres peu de CPU
> et la somme des proces visible n'arrive certainement pas a 50%.
>
> Cela pourrait-il indiquer une intrusion ou quelqu'un verrait-il
> une explication plus rassurante a cette aparente inconsistance?
> Etant donne que certaines intrusions cachent leurs processus
> en remplacant ps (quoique cela ne semble pas etre le cas chez
> moi d'apres l'output de "rpm -V ps-<version>, mais rpm pourrait
> etre corrompu lui-meme), ce qui pourrait expliquer qu'aucun
> processus suspect n'aparaisse dans la liste.
>
> J'ai regarde egalement dans les fichier /proc/<no_de_proces>/cpu
> pour voir si je trouvais un proces qui utilise beaucoup de CPU
> mais je ne suis pas tout a fait sur de la facon de sortir le
> pourcentage actuel de la cpu de ces fichiers, dont le format est:
>
> cpu  15 61
> cpu0 15 61
>
> Je ne connais pas la signification de ces nombres et une breve
> recherche sur google ne m'a pour l'instant pas aide a y voir
> plus clair.
>
> Le systeme est une SuSE 9.0.
>
> Merci de tout conseil!
>
> Vuko
>
> top - 15:44:53 up 3 days, 21 min,  6 users,  load average: 0.24, 0.55, 0.81
> Tasks: 103 total,   1 running, 101 sleeping,   0 stopped,   1 zombie
> Cpu(s):   0.3% user,  48.4% system,   0.0% nice,  51.3% idle
> Mem:    513360k total,   495524k used,    17836k free,    45468k buffers
> Swap:   530104k total,      448k used,   529656k free,   156856k cached
>
>   PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
>  4419 root      17   0  2640 2636 2104 R  3.2  0.5   0:01.25 top
>  2267 root      15   0  274m  18m 4900 S  0.3  3.6  18:17.99 X
>  8597 user1     15   0 18668  18m  16m S  0.3  3.6   0:35.82 kdeinit
>  8803 user1     16   0 18684  18m  16m S  0.3  3.6   0:57.07 kdeinit
>  8811 user1     16   0 20964  20m  18m S  0.3  4.1   0:46.08 kdeinit
>  8813 user1     16   0 19508  19m  12m S  0.3  3.8   1:57.32 suseplugger
>     1 root      15   0   256  256  220 S  0.0  0.0   0:08.19 init
>     2 root      RT   0     0    0    0 S  0.0  0.0   0:00.00 migration_CPU0
>     3 root      15   0     0    0    0 S  0.0  0.0   0:00.34 keventd
>     4 root      34  19     0    0    0 S  0.0  0.0   0:00.00 ksoftirqd_CPU0
>     5 root      15   0     0    0    0 S  0.0  0.0   0:13.07 kswapd
>     6 root      25   0     0    0    0 S  0.0  0.0   0:00.00 bdflush
>     7 root      16   0     0    0    0 S  0.0  0.0   0:45.70 kupdated
>     8 root      16   0     0    0    0 S  0.0  0.0   0:00.04 kinoded
>     9 root      25   0     0    0    0 S  0.0  0.0   0:00.00 mdrecoveryd
>    12 root      15   0     0    0    0 S  0.0  0.0   0:04.11 kreiserfsd
>   427 root      19   0     0    0    0 S  0.0  0.0   0:00.00 kcopyd
>   450 root       0 -20     0    0    0 S  0.0  0.0   0:00.00 lvm-mpd
>   867 root      15   0     0    0    0 S  0.0  0.0   0:00.00 afs_rxlistener
>   869 root      15   0     0    0    0 S  0.0  0.0   0:00.00 afs_callback
>   871 root      15   0     0    0    0 S  0.0  0.0   0:00.04 afs_rxevent
>   873 root      15   0     0    0    0 S  0.0  0.0   0:00.01 afsd
> (...)
>
> ===========================================================|
>  Vuko Brigljevic                                           |
>  Rudjer Boskovic Institute                                 |
>  --------------------------------------------------------- |
>  Mail Address: Bijenicka cesta 54, P.O.B. 180              |
>                10002 Zagreb Croatia                        |
>  Phone       : +385-1- 468 0204                            |
>  www         : http://cern.ch/vuko                         |
> ===========================================================|
> One Word to rule them all, One Explorer to find them,
> One Windows to bring them all and in the darkness bind them
>
>
> _______________________________________________
> gull mailing list
> gull at lists.alphanet.ch
> http://lists.alphanet.ch/mailman/listinfo/gull

-- 
MuTECH, Martial Guex
Rue des Alpes 3
1452 Les Rasses
Switzerland
Phone:+41 (24) 454 46 35
Fax:+41 (24) 454 46 32
Email: m.guex at mutech.ch

More information about the gull mailing list