On Monday 10 January 2005 16:53, Vuko Brigljevic wrote: > L'output de top (voir ci-dessous) me parait tres suspect: le resume > au sommet indique qu'une fraction importante de la CPU, environ 50%, > est utiliseee par le systeme, ce qui est plutot difficile a expliquer > en regardant la liste des proces, tous utilisent tres peu de CPU > et la somme des proces visible n'arrive certainement pas a 50%. > > Cela pourrait-il indiquer une intrusion ou quelqu'un verrait-il > une explication plus rassurante a cette aparente inconsistance?
Je penche pour des transferts de memoire a memoire. Ceci peut-etre induit par des tables de routage (+iptable) complexe sur un systeme servant de gateway entre plusieurs reseaux, ou encore de buffer-cache a user-space... Ca peut aussi etre un probleme de driver... plein de choses sont helas possibles. > Etant donne que certaines intrusions cachent leurs processus > en remplacant ps (quoique cela ne semble pas etre le cas chez > moi d'apres l'output de "rpm -V ps-<version>, mais rpm pourrait > etre corrompu lui-meme), ce qui pourrait expliquer qu'aucun > processus suspect n'aparaisse dans la liste. Possible, > J'ai regarde egalement dans les fichier /proc/<no_de_proces>/cpu > pour voir si je trouvais un proces qui utilise beaucoup de CPU Top te donne deja une bonne indication. Un bon outil que j'utilise en lieu et place de top est 'qps'; beaucoup plus detaille que top et permet d'effectuer un tri en fonction de differents criteres. dc _______________________________________________ gull mailing list [email protected] http://lists.alphanet.ch/mailman/listinfo/gull
