chkproc 문의 드립니다.

안녕하십니까? 오늘과내일의 홍석범입니다.

named와 mysql과 같이 thread를 사용할 경우 ps 명령어로는 pid가 보이지 않기 때문에 아래와 같이 마치 hidden process인것처럼 보입니다. 하지만 실제 확인을 해 보면 아래와 같이 정상적인 thread 프로세스이므로 해킹을 당한 것은 아니므로 걱정하지 않으셔도 됩니다.

감사합니다.

이현웅 님의 글

Linux 2.4.20-46.9

chkrootkit 0.46a

chkproc -v 의 결과입니다.

------------------------------------------------------------------------

PID  2421: not in ps output
PID  2422: not in ps output
PID  2423: not in ps output
PID  2424: not in ps output
PID  2425: not in ps output
PID  2426: not in ps output
PID  2427: not in ps output
PID  2428: not in ps output
PID  2429: not in ps output
PID 30198: not in ps output
PID 30199: not in ps output
PID 30200: not in ps output
PID 30201: not in ps output
PID 30202: not in ps output
You have    14 process hidden for ps command

------------------------------------------------------------------------

ls -al /proc/2421 부터 /proc/2429

dr-xr-xr-x    3 mysql    mysql           0  8월  8 11:25 .
dr-xr-xr-x   72 root     root            0  7월  1 11:41 ..
-r--r--r--    1 root     root            0  8월  8 11:25 cmdline
-r--r--r--    1 root     root            0  8월  8 11:25 cpu
lrwxrwxrwx    1 root     root            0  8월  8 11:25 cwd -> /usr/local/mysql/data
-r--------    1 root     root            0  8월  8 11:25 environ
lrwxrwxrwx    1 root     root            0  8월  8 11:25 exe -> /usr/local/mysql/libexec/mysqld
dr-x------    2 root     root            0  8월  8 11:25 fd
-r--r--r--    1 root     root            0  8월  8 11:25 maps
-rw-------    1 root     root            0  8월  8 11:25 mem
-r--r--r--    1 root     root            0  8월  8 11:25 mounts
lrwxrwxrwx    1 root     root            0  8월  8 11:25 root -> /
-r--r--r--    1 root     root            0  8월  8 11:25 stat
-r--r--r--    1 root     root            0  8월  8 11:25 statm
-r--r--r--    1 root     root            0  8월  8 11:25 status

ls -al /proc/30198 부터 /proc/30202

dr-xr-xr-x    3 named    named           0  8월  8 11:26 .
dr-xr-xr-x   72 root     root            0  7월  1 11:41 ..
-r--r--r--    1 root     root            0  8월  8 11:26 cmdline
-r--r--r--    1 root     root            0  8월  8 11:26 cpu
lrwxrwxrwx    1 root     root            0  8월  8 11:26 cwd -> /var/named
-r--------    1 root     root            0  8월  8 11:26 environ
lrwxrwxrwx    1 root     root            0  8월  8 11:26 exe -> /usr/sbin/named
dr-x------    2 root     root            0  8월  8 11:26 fd
-r--r--r--    1 root     root            0  8월  8 11:26 maps
-rw-------    1 root     root            0  8월  8 11:26 mem
-r--r--r--    1 root     root            0  8월  8 11:26 mounts
lrwxrwxrwx    1 root     root            0  8월  8 11:26 root -> /
-r--r--r--    1 root     root            0  8월  8 11:26 stat
-r--r--r--    1 root     root            0  8월  8 11:26 statm
-r--r--r--    1 root     root            0  8월  8 11:26 status

위의 결과에 mysqld 와 named가 나옵니다.

이럴 경우, 정상인가요?

정상적인 데몬의 상태(pid)가 ps에서 보이지 않을때에는 어떤 경우인가요?