求助Linux大佬，服务器tmp文件夹一直有类似file0eVytb文件，进程中也存在对应名字的占用。

Zzzwe · 2024 年8 月 30 日 08:57

服务器tmp文件夹一直有类似file0eVytb文件，进程中也存在对应名字的占用。
在tmp文件使用ls命令，能显示很多个类似file0eVytb文件，ls命令显示结果也很慢。
在文件管理器中只显示部分文件，使用rm命令也无法删除。

deep1nlife · 2024 年8 月 30 日 11:13

不是大佬，帮顶。
先用ls命令尝试定位一下进程看看，以图3中的pid为例：
ls -l /proc/2822267/exe
看一下是哪个路径的文件拉起这个进程，搜索一下它的名称或者父级目录的名称一般就能知道是干什么的了。

Zzzwe · 2024 年8 月 30 日 12:05

感谢大佬，提供的思路。
根据你提供的思路，然后我又找了相关的命令。
已经找到了它的相关信息。
发现它是父进程是/usr/bin/bash

deep1nlife · 2024 年8 月 30 日 13:10

还是有些不放心，这些不像是bash自己会创建的文件，如果你有时间可以用auditd组件再挖一下，或许能有新发现。
组件的安装你可以按你的发行版或者包管理器搜一下。审计步骤如下：

写入临时的审计规则：auditctl -w /tmp -p rwxa
查看输出日志，路径为/var/log/audit/audit.log

由于/tmp目录会被各种进程频繁操作，日志内容会非常多和杂，善用关键词搜索定位比如name="/tmp/file。

Zzzwe · 2024 年8 月 30 日 13:16

非常感谢大佬，我也确实不太放心，这些文件名字太怪了，我去试一下您说的方法。

IgniteRan · 2024 年8 月 30 日 13:19

我建议给文件拉出来看看

Zzzwe · 2024 年8 月 30 日 13:51

拉出来看了一下，都是乱码，文件也很大14mb。

IgniteRan · 2024 年8 月 30 日 13:52

感觉有点蹊跷

pluszero1982 · 2024 年8 月 30 日 14:05

90概率出事了。

tmp目录下可执行文件在执行，就两种可能

1.你在调试代码。

2.你在安装软件。

看你描述，明显都不是。

Zzzwe · 2024 年8 月 30 日 14:10

刚才安装说的auditd组件提示：
debconf: unable to initialize frontend: Dialog
debconf: (No usable dialog-like program is installed, so the dialog based frontend cannot be used. at /usr/share/perl5/Debconf/FrontEnd/Dialog.pm line 78, <> line 2.)
debconf: falling back to frontend: Readline
E: Sub-process /usr/sbin/dpkg-preconfigure --apt || true returned an error code (255)
E: Failure running script /usr/sbin/dpkg-preconfigure --apt || true

使用sudo apt update和sudo apt-get update
提示：Unknown error executing apt-key
搜了一下相关的解决方法也仍然提示这个错误。

Zzzwe · 2024 年8 月 30 日 14:11

感觉出事了。

Zzzwe · 2024 年8 月 30 日 14:11

我也感觉出事了。

Zzzwe · 2024 年8 月 30 日 14:11

刚才安装 deep1nlife大佬所说的auditd组件提示：
debconf: unable to initialize frontend: Dialog
debconf: (No usable dialog-like program is installed, so the dialog based frontend cannot be used. at /usr/share/perl5/Debconf/FrontEnd/Dialog.pm line 78, <> line 2.)
debconf: falling back to frontend: Readline
E: Sub-process /usr/sbin/dpkg-preconfigure --apt || true returned an error code (255)
E: Failure running script /usr/sbin/dpkg-preconfigure --apt || true

使用sudo apt update和sudo apt-get update
提示：Unknown error executing apt-key
搜了一下相关的解决方法也仍然提示这个错误。
感觉出事了。

IgniteRan · 2024 年8 月 30 日 14:19

是不是用了已弃用的仓库或不再支持的第三方仓库

lingjing · 2024 年8 月 30 日 14:23

查一下服务器的外联，看看该进程对应的ip，把ip丢到微步在线看看ip是不是恶意ip

Zzzwe · 2024 年8 月 30 日 14:24

应该没有，刚才试了清华源、阿里源和官方源都不行，这个服务器也是新装的，只安装了miniconda和torch环境，和frp内网穿透。

IgniteRan · 2024 年8 月 30 日 14:25

方便发个文件看看嘛，挺好奇的，他怎么这么大

Zzzwe · 2024 年8 月 30 日 14:44

我已经上传到网盘里面了，解压密码是：123。
https://wwzm.lanzoub.com/iWbj828rtelc

Zzzwe · 2024 年8 月 30 日 14:46

感谢大佬提供的思路，我去尝试一下，现在服务器没法直接使用apt安装软件，我去寻找一下离线安装流量监控组件的方法。

lingjing · 2024 年8 月 30 日 14:50

直接netstat -anp简单看看

话题		回复	浏览量
服务器时常有程序占满CPU，但占满CPU时又连不上服务器，请问如何高效排查？开发调优快问快答 , 网络安全	9	274	2025 年3 月 24 日
服务器占用异常问题开发调优快问快答	28	302	2024 年12 月 6 日
Serv00重置系统命令开发调优 Serv00	60	4827	2025 年3 月 25 日
(已解决，卸载掉万恶的鲁大师就啥都恢复正常了) 公司windows server服务器被鲁大师RunDll.exe创建了几十个helper进程，占用了大量cpu资源开发调优快问快答 , 网络安全 , 纯水	18	309	2025 年4 月 2 日
有没有熟悉 linux 系统的佬，咨询一个问题开发调优快问快答 , 软件开发	5	298	2025 年3 月 25 日

求助Linux大佬，服务器tmp文件夹一直有类似file0eVytb文件，进程中也存在对应名字的占用。

相关话题