"Talk" Prozess

H

HomerS

New Member
Hallo!

Auf meinem OpenSuse VServer laufen am Vormittag immer 2 "Talk"-Prozesse, die ich nicht zuordnen kann und die CPU-Last auf 100% bringen. Siehe screenshot1.jpg. Ein "pstree" offenbart, daß diese Prozesse wohl von einem Cronjob angestoßen werden (screenshot2.jpg). Nun finde ich unter etc/ in den ganzen cron-Ordnern (d, daily, hourly usw.) aber keine Jobs, die ich diesen Prozessen zuordnen kann.

Nachdem diese "Talk"-Prozesse beendet sind, kommt ein "sl", der anscheinend auch von einem Cronjob kommt (screenshot3.jpg und screenshot4.jpg).

Das ganze dauert ca. 3 Stunden und dann ist Ruhe. Am nächsten Tag beginnt das Spiel wieder von neuem.

Kann mir bitte jemand sagen, was das für Prozesse sind und wie ich sie identifizieren kann?

Danke im Voraus!
 

Attachments

  • screenshot1.jpg
    screenshot1.jpg
    11.1 KB · Views: 131
  • screnshot2.jpg
    screnshot2.jpg
    7.2 KB · Views: 139
  • screenshot3.jpg
    screenshot3.jpg
    7.2 KB · Views: 130
  • screenshot4.jpg
    screenshot4.jpg
    4.1 KB · Views: 122
Schon klar, aber da bekomme ich auch nur den Hinweis auf die Cron-Ordner:

# check scripts in cron.hourly, cron.daily, cron.weekly, and cron.monthly
#
-*/18 * * * * root test -x /usr/lib/cron/run-crons && /usr/lib/cron/run-crons >/dev/null 2>&1

Und diese ganzen Scripts in den Ordnern habe ich mir angeschaut und darin nichts gefunden, was auf "Talk" hindeuten könnte.
 
Daß "talk" installiert ist, weiß ich ja. Mich würde interessieren, welches Script es anstößt! Daß es anscheinend von einem Cronjob herrührt, sieht man auf screenshot2.jpg. Ich finde aber keinen Job dazu und such mich noch zum Schwammerl! :)

Wie kann man herausfinden, wo dieser Job definiert ist?
 
Schau mal in die crontab des Users root, geht mit
Code: 
crontab -e
Die userbezogenen crontabs unter /var/spool/cron sollten nicht direkt sondern immer über das Programm crontab editiert werden!
 
Hi,

vllt. hilft dir auch die PID bzw. PPID weiter.
Such dir mal mit "ps -ef" die PID raus und unter /proc/$PID dann die entsprechenden Daten bzw. Parent-PID.
 
Danke für eure Unterstützung!

@danton: Das hatte ich schon gemacht und es gibt genau einen Cronjob, und das ist jener, der um 3:30 das Reoback-Backup anwirft.

@strowi:
Mit cat /proc/24372/status (24372 ist die PID von "Talk" laut Top) habe ich rausgefunden, daß die PPID 22271 lautet.
Nun also cat /proc/22271/status eingegeben und rausgefunden, daß der Name dieses Proc. "crond" ist...

Also ich drehe mich im Kreis...

Danke im Voraus für weitere Tipps!
 
Danke an alle - das Rätsel hat sich gelöst. Ich wurde gehackt :mad:
Bin draufgekommen, daß dieser "Talk"-Prozess im versteckten Ordner ".kde" im Verzeichnis /usr/include/ gelaufen ist. Angestoßen von "crond" aus dem selben Ordner.

Ein Ordner .kde gehört da nicht hin und schon gar nicht die ganzen bösen Files, die darin enthalten waren...

Toll - jetzt beginnt die lustige Arbeit...
 
HomerS said:
...Bin draufgekommen, daß dieser "Talk"-Prozess im versteckten Ordner ".kde" im Verzeichnis /usr/include/ gelaufen ist. Angestoßen von "crond" aus dem selben Ordner....
Click to expand...
Wie genau hast du das letztlich festgestellt?

Und ganz ehrlich, dass dies ein Anzeichen für einen möglichen Hack sein könnte, hatte ich bereits beim Lesen des ersten Beitrages innerlich vermutet, weil die funktion von talk doch nun recht speziell ist.

Hattest Du irgendwas an Sicherheitssoftware installiert? Hast Du schon eine Idee, was das Einfallstor war?
 
Draufgekommen bin ich im Endeffekt mit cat /proc/24372/maps
Damit habe ich dann schön den Ursprung dieser "Talk"-Datei gesehen.

Und natürlich war es nicht der richtige Talk-Prozess, sondern das war irgendein Name, der hier vergeben wurde. Natürlich um möglichst unauffällig zu arbeiten. Das Script hätte auch ganz anders heißen können.

Was das Einfallstor war, kann ich noch nicht sagen.
Ich bezweifel ehrlich gesagt auch, daß ich da jemals dahinterkomme.

rootkithunter und chrootkit sind heute morgen übrigens noch ohne Auffälligkeiten durchgelaufen...
Das Problem mit diesem "Talk" hatte ich aber schon die letzten zwei Wochen.

So ein Mist!
Naja - war eh schon Zeit für einen neuen Server... :(
 
HomerS said:
rootkithunter und chrootkit sind heute morgen übrigens noch ohne Auffälligkeiten durchgelaufen...
Das Problem mit diesem "Talk" hatte ich aber schon die letzten zwei Wochen.

So ein Mist!
Naja - war eh schon Zeit für einen neuen Server... :(
Click to expand...
RKHunter hätte das versteckte Verzeichnis eigentlich melden sollen.

Zum Neuaufsetzen: tja, so ein Frühjahrsputz hat auch sein gutes :D
 
You must log in or register to reply here.
Back
Top