현재 위치

›› Forums ›› 공부 ›› 설치 및 활용 QnA

의심스러운 프로세스를 발견했습니다. nano 라는 녀석이 cpu 를 99% 먹고 있어요.

망치의 이미지
글쓴이: 망치 / 작성시간: 월, 2010/08/02 - 11:10오전

top 에서 나온 결과. 혼자 99.9% 먹고 있습니다.

22604 root      20   0 10048 1640 1168 R 99.9  0.1  19704:31 nano

ps 에서 나온 결과

22562 ?        S      0:00 /bin/bash
22582 ?        S      0:00 crontab -e
22583 ?        S      0:00 /bin/sh -c /usr/bin/sensible-editor /tmp/crontab.NtN3hl/crontab
22584 ?        S      0:00 /bin/sh /usr/bin/sensible-editor /tmp/crontab.NtN3hl/crontab
22604 ?        R    19705:32 /bin/nano /tmp/crontab.NtN3hl/crontab

찾아보니 nano 는 pico 같은 에디터군요. 전 이런 에디터가 있는지도 몰랐는데 어떻게 이녀석이 돌고 있는지 모르겠습니다.
혹여 해킹의 흔적이 아닌가 의심도 되구요. 우분투 설치시 nano 가 기본 설치되는건가요? 아니면 누군가 악의적인 목적으로 설치한건가요?

다음은 스크립트인 /usr/bin/sensible-editor 의 내용입니다. 

#!/bin/sh
 
ret="$?"
 
if [ -n "$VISUAL" ]; then
        ${VISUAL} "$@"
        ret="$?"
        if [ "$ret" -ne 126 ] && [ "$ret" -ne 127 ]; then
                exit "$ret"
        fi
fi
 
if [ -r ~/.selected_editor ]; then
        . ~/.selected_editor 2>/dev/null || true
elif [ -z "$EDITOR" ] && [ -z "$SELECTED_EDITOR" ] && [ -t 0 ]; then
        select-editor && . ~/.selected_editor 2>/dev/null || true
fi
 
${EDITOR:-${SELECTED_EDITOR:-editor}} "$@"
ret="$?"
if [ "$ret" -eq 126 ] || [ "$ret" -eq 127 ]; then
        nano "$@"
        ret="$?"
        if [ "$ret" -eq 126 ] || [ "$ret" -eq 127 ]; then
                nano-tiny "$@"
                ret="$?"
                if [ "$ret" -eq 126 ] || [ "$ret" -eq 127 ]; then
                        vi "$@"
                        ret="$?"
                        if [ "$ret" -eq 126 ] || [ "$ret" -eq 127 ]; then
                                echo "Couldn't find an editor!" 1>&2
                                echo "Set the \$EDITOR environment variable to your desired editor." 1>&2
                                exit 1
                        fi
                fi
        fi
fi
exit "$ret"

다음은 /tmp/crontab.NtN3hl/crontab 파일입니다. 실제 /etc/crontab 파일에서 볼 수 있는 주석입니다. 저곳에 특정 명령을 넣어서 실행시키게 하려는것같습니다.. 왠지 해킹 의혹이 점점 더 짙어지네요;;

# m h  dom mon dow   command

Forums: 
설치 및 활용 QnA
klara의 이미지

글쓴이: klara / 작성시간: 월, 2010/08/02 - 12:28오후

우분투는 모르겠지만 기본으로 설치되는 경우가 많습니다.

망치의 이미지

글쓴이: 망치 / 작성시간: 월, 2010/08/02 - 12:56오후

tmp 디렉토리 하위에 별도의 디렉토리를 만들고 그 안의 crontab 내용을 실행시키려 하는것같은데..
이게 일반적인 상황은 아닌것같은데.. 만약 일반적인 상황이고 자동으로 생긴거라면 어떤때 이런 일이 생기는건가요?

---------------------------------------
http://www.waitfor.com/

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

rogon3의 이미지

글쓴이: rogon3 / 작성시간: 월, 2010/08/02 - 1:20오후

우분투 엄마 데비안에는 nano가 기본설치되지만, 저런 현상은 겪어보지 못했습니다

스크립트 내용에 데비안에는 없는 내용이 들어있네요

Quote:
if [ -r ~/.selected_editor ]; then
. ~/.selected_editor 2>/dev/null || true
elif [ -z "$EDITOR" ] && [ -z "$SELECTED_EDITOR" ] && [ -t 0 ]; then
select-editor && . ~/.selected_editor 2>/dev/null || true
fi

요 부분이 데비안에는 없습니다

우분투 사용자께서 확인해 주시면 될 듯 합니다

그리고 ps 실행 목록 중 맨 아랫 줄 /bin 디렉토리에 서브 디렉토리가 있는것도 데비안 사용자 입장에서는 이상해 보이지만, 제대로 아는게 없는 입장이라

이 부분 역시 우분투 사용자가 확인해 주시면 좋을 듯 합니다

- - - - - - - - - - - - - - - - - - - - - - - -- - - - - - - - - -
데비안과 세벌식 사용자입니다

*******************************
데비안과 세벌식 사용자입니다

*************************************

planetarium의 이미지

글쓴이: planetarium / 작성시간: 월, 2010/08/02 - 1:25오후

우분투 10.04 사용중입니다.
인용된 부분은 해당 파일 안에 존재하는군요. 다른 부분은 확인해보지 않았습니다.

/bin 밑에 서브 디렉토리가 있지는 않네요.

unsouled의 이미지

글쓴이: unsouled / 작성시간: 월, 2010/08/02 - 1:43오후

해킹은 아닌 것 같습니다. nano 는 웬만한 배포판에서 기본적으로 깔리구요.

위에 보시면 crontab -e 가 있는데, 사용자의 crontab 을 수정하는 내용입니다. 이 명령을 실행하면 sensible-editor 스크립트를 이용하여,

사용자의 환경변수로 등록된 EDITOR 를 실행시켜 /tmp 밑에 임시파일을 생성하여 crontab 을 편집할 수 있게 해 줍니다. ( 위 경우는 사용자의 기본 에디터가 nano 로 설정된 경우겠죠. )

# m h dom mon dow command

위 파일 같은 경우는 우분투 10.04 기준으로 crontab 의 기본 템플릿이고.. 원래대로라면 nano 가 닫히면서 임시파일이 삭제되어야 합니다.

하지만 어떤 이유인지는 몰라도 nano 가 제대로 닫히지 않으면서 임시파일이 삭제가 되지 않은 경우인 것 같습니다.

왜 nano 가 cpu 를 많이 차지하고, 제대로 닫혀있지 않는지는 잘 모르겠네요.

망치의 이미지

글쓴이: 망치 / 작성시간: 월, 2010/08/02 - 2:34오후

전 보통 vim 을 사용해서 crontab 을 편집했는데, 왜 nano 가 열려있는지 모르겠습니다.. 이상하네요..

---------------------------------------
http://www.waitfor.com/

---------------------------------------
http://www.waitfor.com/
http://www.textmud.com/

pogusm의 이미지

글쓴이: pogusm / 작성시간: 월, 2010/08/02 - 7:10오후

(관리자 권한이 있기때문에) 물론 저도 vim을 이용해서 /etc/crontab 파일등을 직접 수정합니다.

하지만
# crontab -e 라는 방법으로 관리자 이외의 일반사용자도 cron을 이용할 수 있습니다.

그리고...
# vim /etc/crontab 을 보시면 아시겠지만..
" # m h dom mon dow command " 또는
" # m h dom mon dow user command " 라는것은
" 분 시 날짜(DayOfMonth) 달(Month) 요일(DayOfWeek) user 명령어" 라는 사용 예시입니다..

해킹여부라든지.. 99.9%의 점유문제는 잘 모르겠지만...

주로 vim을 사용하고, nano 를 사용하지 않으신다면 nano를 지워버리고
# apt-get remove nano

우분투에 있는
# select-editor 라는 명령어로

Select an editor. To change later, run 'select-editor'.
1. /bin/ed
2. /bin/nano <---- easiest
3. /usr/bin/vim.basic
4. /usr/bin/vim.tiny

Choose 1-4 [2]: 3

위처럼 vim으로 기본에디터를 변경해 놓으면

# crontab -e 를 실행할때도 vim이 기본 에디터로 실행됩니다.

댓글 달기

텍스트 포맷에 대한 자세한 정보

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.