“Find” komutu mysqli.so dosyasını 9.729 saattir arıyor.

Bu sitede ve daha pek çok yerde arama yapıyorum, ancak her zaman% 100 CPU'da 9.729 saattir devam eden bir işlemim var. Htop'a göre, bu komut Debian Jessie web sunucumda "root" tarafından çalıştırılıyor:

find ./ -name mysqli.so -print

Komutun çalışmasına neyin sebep olduğunu ve PID'sine "kill -9" vermenin bir etkisi olmadığını çözemiyorum.

Diğer her şey beklendiği gibi çalışıyor gibi görünüyor - bu durumun uzun zamandır bir sorun olduğunun farkında bile değildim. Ancak, her zaman tüm bir CPU çekirdeğini meşgul ettiğinden, bunu çözmek istiyorum.

Denemediğim tek şey sunucuyu yeniden başlatmak - bu bir üretim sunucusu olduğu için pratik değil.

İlk önce göndermeyi dene. SIGSTOP Yürütülmesini gerçekten durdurmak için (bu komut tarafından kapana kısılmış ve göz ardı edilebilir, ancak denemeye değer).

Sonra, bu şüpheli görünüyor. Herhangi bir işlem, işlem listesinde gösterilen metni değiştirmekte serbest olduğundan (MTA'ler gibi bazı programlar bunu meşru amaçlarla yapar), belki makineniz p0wned ve bu işlem gerçekten değil find ama başka bir şey (bir kripto madencisi gibi).

Ne olduğunu incelemeye çalışmanın birkaç yolu var.

1. Hangi çalıştırılabilir olduğuna bakmayı deneyin:

    # stat /proc/$pid/exe
   

   Bu işlemde hangi ikili çalıştırılabilir dosyanın çalıştığını göstermelidir.

2. Bu işlemin dosya sistemi etkinliğini izlemek yardımcı olabilir:

   # watch vdir /proc/$pid/fd
   

   Gerçekten çok sayıda açma ve kapama gibi görünüyorsa dosyalar, muhtemelen gerçekten find.

3. İşlemin açık soketleri olmamalıdır (aynı anda görülebilir) /proc/$pid/fd hiyerarşi.

4. Yapabilirsin strace o ve tekrar tekrar gerçekten olup olmadığını görmek dizinleri açar ve kapatır - çalıştır

   # strace -p $pid
   

   ve izle opendir ve fdopendir sistem çağrıları.

5. Çıkış yapmak debsums.