N3Xus
Administrator
Урок 11: Какво не показва `top` – Тихите процеси и шепнещите връзки
Във всяка система има нещо, което се движи под радара. Нещо, което `top` не показва.
Нещо, което чака... докато не започнеш да питаш с правилните инструменти.
1. netstat не лъже. Но мълчи:
netstat -tulnp – виж кои процеси слушат портове. Но ако не виждаш нищо — не значи, че няма нищо. ss -tulnp – по-бърз и по-дълбок. Той понякога разкрива скритото.
2. lsof – отваря вратите:
lsof -i – показва процесите, които държат мрежови връзки. lsof +D /път/към/директория – кой гледа тази папка, без да го виждаш? 3. Странните PID-и:
ps -eo pid,ppid,cmd,%mem,%cpu --sort=-%mem | head Кои процеси ядат ресурси тихомълком?
find /proc/*/fd -type l -ls 2>/dev/null | grep deleted Файлове, които вече не съществуват, но процеси още ги държат отворени.
4. auditctl – Големият брат... на твоя страна:
auditctl -w /etc/passwd -p wa Следи запис и промяна на чувствителни файлове.
Кой пипа, когато не гледаш?
ausearch -f /etc/passwd – искаш истината? Тук е.
Финални думи от N3Xus:
┌──────[N3Xus@lesson11]
│ status: shadow_tracing
└─> echo "Кой държи връзката, когато никой не гледа?"