Задать вопрос
@q27off
linux

Как получить информацию о процессе, завершившем свою работу?

Здравствуйте.

Насколько я помню, если родитель процесса прекращает свою работу, то родителем становится init. А как можно получить информацию о первичном родителе процесса, если этот родитель уже завершил свою работу? Можно ли получить информацию о родителе первичного родителя?

Предположим, что злоумышленник получил доступ к серверу. Затем в своей ssh-сессии он выполняет цепочку форков, которая порождает некий воркер. Так вот, как раскрутить всю эту цепочку, имея один лишь PID воркера?
  • Вопрос задан
  • 71 просмотр
Комментировать
Подписаться 1 Простой Комментировать
Пригласить эксперта
Ответы на вопрос 1
jenki
@jenki
если родитель процесса прекращает свою работу, то родителем становится init.
Родителем чего становится init?

Можно ли получить информацию о родителе первичного родителя?
Обычно это init.

Когда процесс завершается, ОС (не всегда сразу) освобождает затребованные им ресурсы и всё что было с ним связано. Только записи в журнальных файлах могут остаться.

как раскрутить всю эту цепочку, имея один лишь PID воркера?
Если процесс существует в том или ином виде, можно посмотреть дерево процессов и его прародителя. Только толку от этого?
С грамотным настроенным логированием и аудитом намного проще и понятнее.
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Системный администратор Astra Linux
Гринатом Новосибирск
До 60 000 ₽
Системный инженер (Windows/Astra Linux)
Гринатом Новосибирск
До 57 000 ₽
Ведущий инженер Linux
Интер РАО – Управление сервисами Москва
от 180 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Frontend подключение к бэк-енд
08 нояб. 2024, в 14:10
10000 руб./за проект
Развернуть проект на Windows сервере (VDS)
08 нояб. 2024, в 13:58
3000 руб./за проект
Переработка интерфейса личного кабинета сотрудника. AgileHR.io
08 нояб. 2024, в 13:57
55000 руб./за проект
Ещё заказы