Ps
Администратор также должен изучать результаты выполнения команды ps. Эта программа выводит все активные процессы, имеющиеся в системе, что необходимо при поиске снифферов, так как сниффер может не отображаться в lsof или в netstat. В большинстве систем выполнение команды ps -ef выводит перечень процессов в системе. В тех версиях Unix, где эта команда не работает, следует выполнить команду ps -aux. Результаты выполнения данной команды показаны ниже:
#ps -ef UID PID PPID C STIME TTY TIME CMD root 1 0 0 13:09 ? 00:00:04 init root 2 1 0 13:09 ? 00:00:00 [kflushd] root 3 1 0 13:09 ? 00:00:00 [kupdate] root 4 1 0 13:09 ? 00:00:00 [kpiod] root 5 1 0 13:09 ? 00:00:00 [kswapd] root 6 1 0 13:09 ? 00:00:00 [mdrecoveryd] bin 3 11 1 0 13:09 ? 00:00:00 portmap root 327 1 0 13:10 ? 00:00:00 /usr/sbin/apmd -p 10 -w 5 -W root 380 1 0 13:10 ? 00:00:00 syslogd -m 0 root 391 1 0 13:10 ? 00:00:00 klogd daemon 407 1 0 13:10 ? 00:00:00 /usr/sbin/atd root 423 1 0 13:10 ? 00:00:00 crond root 439 1 0 13:10 ? 00:00:00 inetd root 455 1 0 13:10 ? 00:00:00 lpd root 494 1 0 13:10 ? 00:00:00 sendmail: accepting connections root 511 1 0 13:10 ? 00:00:00 gpm -t ps/2 xfs 528 1 0 13:10 ? 00:00:00 xfs -droppriv -daemon -port -1 root 570 1 0 13:10 tty1 00:00:00 login - root root 571 1 0 13:10 tty2 00:00:00 /sbin/mingetty tty2 root 572 1 0 13:10 tty3 00:00:00 /sbin/mingetty tty3 root 573 1 0 13:10 tty4 00:00:00 /sbin/mingetty tty4 root 574 1 0 13:10 tty5 00:00:00 /sbin/mingetty tty5 root 575 1 0 13:10 tty6 00:00:00 /sbin/mingetty tty6 root 578 1 0 13:10 ? 00:00:00 perl /usr/libexec/webmin/miniser root 579 570 0 13:10 tty1 00:00:00 -bash root 621 579 0 13:17 tty1 00:00:00 ps -ef
Следует периодически проверять список процессов, работающих в системе. Если обнаруживается что-либо незнакомое, то необходимо выяснить, что это такое.
