Что-то генерирует файлы в корне системы?

Question

[Игорь]

Сервер для разработки, вроде бы нечего страшного, но каждые 30 сек появляться пустой файл.

-rw-r--r--   1 root root         0 Aug  4 15:09 .r.172.86.o
-rw-r--r--   1 root root         0 Aug  4 15:22 .r.172.87.l
-rw-r--r--   1 root root         0 Aug  4 15:22 .r.172.87.o
-rw-r--r--   1 root root         0 Aug  4 14:59 .r.172.88.l
-rw-r--r--   1 root root         0 Aug  4 14:59 .r.172.88.o
-rw-r--r--   1 root root         0 Aug  4 15:20 .r.172.89.l
-rw-r--r--   1 root root         0 Aug  4 15:19 .r.172.89.o
-rw-r--r--   1 root root         0 Aug  4 15:26 .r.172.8.l
-rw-r--r--   1 root root         0 Aug  4 15:26 .r.172.8.o
-rw-r--r--   1 root root         0 Aug  4 15:11 .r.172.90.l
-rw-r--r--   1 root root         0 Aug  4 15:11 .r.172.90.o
-rw-r--r--   1 root root         0 Aug  4 14:20 .r.172.91.l
-rw-r--r--   1 root root         0 Aug  4 14:20 .r.172.91.o
-rw-r--r--   1 root root         0 Aug  4 15:10 .r.172.92.l
-rw-r--r--   1 root root         0 Aug  4 15:10 .r.172.92.o
-rw-r--r--   1 root root        56 Aug  4 15:25 .r.172.93.l
-rw-r--r--   1 root root       303 Aug  4 15:25 .r.172.93.o
-rw-r--r--   1 root root        19 Aug  4 14:49 .r.172.94.l
-rw-r--r--   1 root root       101 Aug  4 14:49 .r.172.94.o
-rw-r--r--   1 root root         0 Aug  4 14:19 .r.172.95.l
-rw-r--r--   1 root root         0 Aug  4 14:19 .r.172.95.o
-rw-r--r--   1 root root        38 Aug  4 15:09 .r.172.96.l
-rw-r--r--   1 root root       202 Aug  4 15:09 .r.172.96.o
-rw-r--r--   1 root root         0 Aug  4 15:06 .r.172.97.l
-rw-r--r--   1 root root         0 Aug  4 15:06 .r.172.97.o
-rw-r--r--   1 root root         0 Aug  4 15:15 .r.172.98.l
-rw-r--r--   1 root root         0 Aug  4 15:15 .r.172.98.o
-rw-r--r--   1 root root        19 Aug  4 15:21 .r.172.99.l
-rw-r--r--   1 root root       101 Aug  4 15:21 .r.172.99.o
-rw-r--r--   1 root root         0 Aug  4 15:13 .r.172.9.l
-rw-r--r--   1 root root         0 Aug  4 15:13 .r.172.9.o

100 Уверен, что система заражена, кто-то юзает её и не из нашей команды.
Потому что появился какой-то пользователь, которого я потом удалил.

+ Ко всему были запрещены ряд утилит, такие как curl/htop/...

Comments

[Дмитрий]

Да, походу что то да поймали. Посмотрите крон

Answer 1

[Армянское Радио]

Если хотите скандалы, интриги, расслеования - снимите образ, потом отформатируйте и накатите бекап.

Не хотите - просто разверните бекап.

Нет бекапа - ССЗБ.

Answer 2

[Saboteur]

1. файлы созданы от рута, поэтому найти будет немного сложнее, создавать их может любой рутовый процесс.
2. Не похоже, что это крон - он не умеет в пол-минуты, минимальный интервал минута, поэтому скорее всего это какой-то уже запущенных процесс. Но для очистки совести можно и кроны просмотреть.
А что собственно в файлах?

Comments

[Damian Lewis]

На скрине видно, что файлы генерируются нулевого размера

[Saboteur]

Damian Lewis,
На скрине видно, что некоторые файлы не нулевого размера, например

-rw-r--r--   1 root root        56 Aug  4 15:25 .r.172.93.l
-rw-r--r--   1 root root       303 Aug  4 15:25 .r.172.93.o
-rw-r--r--   1 root root        19 Aug  4 14:49 .r.172.94.l
-rw-r--r--   1 root root       101 Aug  4 14:49 .r.172.94.o
-rw-r--r--   1 root root         0 Aug  4 14:19 .r.172.95.l
-rw-r--r--   1 root root         0 Aug  4 14:19 .r.172.95.o
-rw-r--r--   1 root root        38 Aug  4 15:09 .r.172.96.l
-rw-r--r--   1 root root       202 Aug  4 15:09 .r.172.96.o

[Игорь]

А что собственно в файлах?

Это тот случай, когда я не проявил любопытство посмотреть.
Этот сервер не имел особого приоритета на существование.

Было проще заново поднять.

Answer 3

[ValdikSS]

Воспользуйтесь программой fatrace.