zombie 프로세스가 자꾸 생기네요 -_-.
안녕하세요.. :)
모르는 문제가 있어서 도움을 요청합니다. ^^
레드햇6.1 이구요 커널은 2.2.14 입니다.
언제부턴가 갑자기 이유없이 좀비 프로세스가 발생하기 시작했습니다.
ps 명령어로 보면..
10784 ? Z 0:00 [ls <zombie>]
10785 ? T 0:00 /bin/ls -la
10786 ? Z 0:00 [ls <zombie>]
14741 ? S 0:30 ftpd: Userhostname: Username: LIST
17938 ? Z 0:00 [ls <zombie>]
17939 ? T 0:00 /bin/ls -la
17940 ? Z 0:00 [ls <zombie>]
이런것들이 막 나오네요..
kill -9 로 죽여도 계속 생기네요..
ftpd 뿐만아니라 ps 외에도 다른 데몬들도 좀비가 생겨버리네요.
왜 그런지 모르겠네요.. httpd,mysqld 같은것들은 괜찮은데..
그리고 더욱 이상한건 /bin 안에 있는 몇몇 바이너리 파일들의 날짜가
자꾸 갱신된다는 겁니다.
/bin , /sbin 등 바이너리 파일들인데 모든 파일들이 그런게 아니라
ps, login, mkdir, rm, cp 같은 파일들 뿐만 아니라 여러 바이너리파일들의
날짜가 현재시간으로 변하네요.. (os 설치한지는 벌써 몇년이 됐는데..)
알수가 없네요..ㅜ.-
아래는 ps 파일의 현재 상태 입니다.
[root@hostname /bin]# ls -al ps
-rwxr-xr-x 1 root root 36852 Feb 6 11:03 ps
이건 cp 파일.
[root@Hostname /bin]# ls -al cp
-rwxr-xr-x 1 root root 37488 Feb 6 11:08 cp
그리고.. ps 명령어를 사용 하면 내용을 뿌린후에 쉘 상태로 떨어지지 않을때도 있습니다..
할 수 없이 ctrl+c 로 빠져나오거든요..
이거 뭐가 문제 인지 모르겠네요..
혹시 해킹의 문제는 아닌지 생각이 드네요 :(
서버는 오래전부터 tcp wrapper로 막아둔 상태구요....그 외 httpd, oracle 등이 돌아가구 있구요
답변부탁드립니다.
좋은 하루되세요 :)
[re]
좀비 프로세스가 계속 생기는건 시스템의 불안정으로 인한것이라 볼 수도 있겠는데 바이너리 파일들의 갱신 시간이 변한다는건 좀 수상합니다.
아무래도 커널 기반의 루트킷 내지는 그와 비슷한 종류의 악성 프로그램이 심어져 있을 가능성이 있는것 같습니다.
커널 기반 루트킷은 관리자 몰래 해커에게 유리한 환경을 만들어내는 커널 모듈의 하나로, 만일 시스템에 커널 기반 루트킷이 설치되어 있을 경우 lsmod 를 통해서도 그 존재여부를 확인할 수가 없기 때문에 아주 골치아픕니다.
가급적이면 필요한 데이터들을 백업해두고( 데이터만 백업해야 합니다. 그렇지 않으면 하나 마나입니다. ) 시스템을 새로 설치할 것을 권합니다.
댓글 달기