[问题]怀疑机器被攻击

believer82 · #1

大家好，我使用top命令，发现多了一个用户 hal daemo ，他的进程是hald ，大家能帮我看看吗？谢谢

juanzhewudi · #2

昏
man hald

believer82 · #3

但是user 是 hal dameo啊？能解释下吗？谢谢

juanzhewudi · #4

确定你没抄错？
是haldaemon吧

believer82 · #5

我没有抄错啊，难道还应该有一个用户叫hal daemon?

gagiel · #6

请输入 ps aux 然后将结果贴出来看比较容易看清楚。

believer82 · #7

dahai@dahai-laptop:~$ ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 1632 436 ? Ss 21:39 0:01 /sbin/init spla
root 2 0.0 0.0 0 0 ? S 21:39 0:00 [migration/0]
root 3 0.0 0.0 0 0 ? SN 21:39 0:00 [ksoftirqd/0]
root 4 0.0 0.0 0 0 ? S 21:39 0:00 [watchdog/0]
root 5 0.0 0.0 0 0 ? S< 21:39 0:00 [events/0]
root 6 0.0 0.0 0 0 ? S< 21:39 0:00 [khelper]
root 7 0.0 0.0 0 0 ? S< 21:39 0:00 [kthread]
root 9 0.0 0.0 0 0 ? S< 21:39 0:00 [kblockd/0]
root 10 0.0 0.0 0 0 ? S< 21:39 0:00 [kacpid]
root 11 0.0 0.0 0 0 ? S< 21:39 0:00 [kacpi_notify]
root 101 0.0 0.0 0 0 ? S< 21:39 0:00 [kseriod]
root 132 0.0 0.0 0 0 ? S 21:39 0:00 [pdflush]
root 133 0.0 0.0 0 0 ? S 21:39 0:00 [pdflush]
root 134 0.0 0.0 0 0 ? S 21:39 0:00 [kswapd0]
root 135 0.0 0.0 0 0 ? S< 21:39 0:00 [aio/0]
root 1697 0.0 0.0 0 0 ? S< 21:39 0:00 [khubd]
root 1718 0.0 0.0 0 0 ? S< 21:39 0:00 [khpsbpkt]
root 1747 0.0 0.0 0 0 ? S 21:39 0:00 [knodemgrd_0]
root 1789 0.0 0.0 0 0 ? S< 21:39 0:00 [kjournald]
root 1864 0.0 0.0 1600 400 ? Ss 21:40 0:00 //sbin/logd
root 2010 0.0 0.0 2644 328 ? S<s 21:40 0:00 /sbin/udevd --d
root 2741 0.0 0.0 0 0 ? S< 21:40 0:00 [shpchpd]
root 2864 0.0 0.0 0 0 ? S 21:40 0:00 [pccardd]
root 2895 0.0 0.0 0 0 ? S 21:40 0:00 [pccardd]
root 2904 0.0 0.0 0 0 ? S< 21:40 0:00 [kpsmoused]
root 2944 0.0 0.0 0 0 ? S< 21:40 0:00 [ipw2200/0]
root 3547 0.0 0.0 1596 368 tty1 Ss+ 21:40 0:00 /sbin/getty 384
root 3548 0.0 0.0 1600 368 tty2 Ss+ 21:40 0:00 /sbin/getty 384
root 3549 0.0 0.0 1600 368 tty3 Ss+ 21:40 0:00 /sbin/getty 384
root 3550 0.0 0.0 1600 368 tty4 Ss+ 21:40 0:00 /sbin/getty 384
root 3551 0.0 0.0 1596 368 tty5 Ss+ 21:40 0:00 /sbin/getty 384
root 3552 0.0 0.0 1596 368 tty6 Ss+ 21:40 0:00 /sbin/getty 384
root 3814 0.0 0.1 2204 520 ? Ss 21:40 0:00 /usr/sbin/acpid
root 3903 0.0 0.1 1648 540 ? Ss 21:40 0:00 /sbin/syslogd
root 3929 0.0 0.0 1728 340 ? Ss 21:40 0:00 /bin/dd bs 1 if
klog 3931 0.0 0.0 2436 356 ? Ss 21:40 0:00 /sbin/klogd -P
root 4003 0.0 0.2 11884 1112 ? Ss 21:40 0:00 /usr/sbin/gdm
root 4004 0.0 0.3 12240 1684 ? S 21:40 0:00 /usr/sbin/gdm
root 4013 16.1 5.0 49068 26276 tty7 SLs+ 21:40 5:48 /usr/X11R6/bin/
root 4022 0.0 0.0 2800 408 ? Ss 21:40 0:00 /usr/sbin/atiev
103 4040 0.0 0.1 2180 708 ? Ss 21:40 0:00 /usr/bin/dbus-d
106 4055 0.0 0.3 7084 1716 ? Ss 21:40 0:01 /usr/sbin/hald
root 4056 0.0 0.1 2912 808 ? S 21:40 0:00 hald-runner
106 4077 0.0 0.1 2028 620 ? S 21:40 0:00 /usr/lib/hal/ha
106 4088 0.0 0.1 2024 652 ? S 21:40 0:00 /usr/lib/hal/ha
106 4102 0.0 0.1 2032 660 ? S 21:40 0:00 /usr/lib/hal/ha
root 4120 0.0 0.0 13616 476 ? S 21:40 0:00 perl /usr/share
root 4164 0.0 0.0 0 0 ? S< 21:40 0:00 [ondemand]
root 4218 0.0 0.1 2192 632 ? Ss 21:40 0:00 /usr/sbin/cron
dahai 4286 0.0 1.9 41592 10268 ? Ss 21:40 0:00 x-session-manag
dahai 4327 0.0 0.0 0 0 ? Z 21:40 0:00 [fci] <defunct>
dahai 4329 0.0 0.0 4484 348 ? Ss 21:40 0:00 /usr/bin/ssh-ag
dahai 4332 0.0 0.1 2528 536 ? S 21:40 0:00 /usr/bin/dbus-l
dahai 4333 0.0 0.1 2176 904 ? Ss 21:40 0:00 /usr/bin/dbus-d
dahai 4334 0.3 3.3 23736 17112 ? S 21:40 0:07 /usr/bin/fcitx
dahai 4336 0.0 0.7 6396 3760 ? S 21:40 0:00 /usr/lib/libgco
dahai 4339 0.0 0.1 2592 680 ? S 21:40 0:00 /usr/bin/gnome-
dahai 4342 0.0 1.6 29008 8588 ? Sl 21:40 0:01 /usr/lib/contro
dahai 4351 0.0 0.0 1660 360 ? Ss 21:40 0:00 /bin/sh -c /usr
dahai 4352 0.0 0.5 4820 2844 ? S 21:40 0:00 /usr/bin/esd -t
dahai 4359 0.3 1.8 28512 9460 ? Ss 21:40 0:07 /usr/bin/metaci
dahai 4364 0.2 3.3 52840 17340 ? Ss 21:40 0:05 gnome-panel --s
dahai 4366 0.3 5.0 113272 25788 ? Ss 21:40 0:06 nautilus --no-d
dahai 4370 0.0 0.5 39576 2772 ? Ssl 21:40 0:00 /usr/lib/bonobo
dahai 4372 0.0 0.9 18572 4820 ? Ss 21:40 0:00 gnome-volume-ma
dahai 4379 0.0 0.5 8144 3088 ? S 21:40 0:00 /usr/lib/gnome-
dahai 4381 0.0 1.9 30644 10076 ? Ss 21:40 0:00 update-notifier
dahai 4387 0.0 1.7 67828 8944 ? Ssl 21:40 0:00 /usr/lib/evolut
dahai 4396 0.0 1.1 27932 5768 ? Ss 21:40 0:00 gnome-power-man
dahai 4411 0.0 1.0 65328 5164 ? Sl 21:40 0:00 /usr/lib/evolut
dahai 4416 0.0 1.8 63628 9712 ? S 21:40 0:00 /usr/lib/gnome-
dahai 4418 0.0 0.1 2504 880 ? S 21:40 0:00 /usr/lib/nautil
dahai 4441 0.0 1.6 27792 8336 ? Sl 21:40 0:00 /usr/lib/evolut
dahai 4468 0.0 1.8 30576 9536 ? S 21:41 0:00 /usr/lib/gnome-
dahai 4473 0.0 1.6 29044 8336 ? S 21:41 0:00 /usr/lib/gnome-
dahai 4475 0.0 2.0 32272 10632 ? S 21:41 0:00 /usr/lib/gnome-
dahai 4484 0.0 0.4 15744 2212 ? Ss 21:41 0:01 gnome-screensav
dahai 4488 0.0 1.5 25004 7932 ? Ss 21:41 0:00 kdeinit Running
dahai 4493 0.0 1.3 24704 6720 ? S 21:41 0:00 dcopserver [kde
dahai 4496 0.0 1.6 25220 8432 ? S 21:41 0:00 klauncher [kdei
dahai 4498 0.0 3.1 34300 16268 ? S 21:41 0:01 kded [kdeinit]
dahai 4519 0.0 1.6 25588 8380 ? S 21:41 0:00 kio_file [kdein
dahai 4521 0.0 2.2 32008 11796 ? S 21:42 0:00 knotify [kdeini
dahai 4524 0.0 0.9 10736 4744 ? S 21:42 0:01 /usr/bin/artsd
dahai 4568 0.0 0.0 1656 380 ? S 21:43 0:00 /bin/sh /usr/bi
dahai 4579 0.0 0.0 1656 384 ? S 21:43 0:00 /bin/sh /usr/li
dahai 4583 23.2 14.1 217580 72800 ? Sl 21:43 7:43 /usr/lib/swiftf
dahai 4733 0.0 3.1 33928 16420 ? S 22:00 0:00 kio_uiserver [k
dahai 4790 2.9 5.4 109968 27852 ? S 22:12 0:07 gaim
dahai 4941 13.5 2.6 43672 13468 ? Sl 22:16 0:00 gnome-terminal
dahai 4943 0.0 0.1 2504 800 ? S 22:16 0:00 gnome-pty-helpe
dahai 4944 4.6 0.5 5504 3072 pts/0 Ss 22:16 0:00 bash
dahai 4961 0.0 0.1 2480 988 pts/0 R+ 22:16 0:00 ps aux
就是这个了

drivel · #8

believer82 写了：但是user 是 hal dameo啊？能解释下吗？谢谢

很多软件安装之后，都会建立一个自己的帐户用户组

relaxssl · #9

不了了之！