Перехватить kill -9 между процессами

0

1

Какая-то гадость убивает процесс вебсервера.

Скорей всего, один из скриптов мониторинга решил, что сервак повис, и теперь упорно рестарит его.

Как бы понять, кто именно убивает приложение? Допустим, у меня есть его pid и полный путь на hdd. Я хочу получить pid/путь до зверя, шлющего kill.

И желательно не просто понять кто это, а перехватить и отменить этот килл к чертям. (шанс что «убивающий» скрипт можно будет поправить - черезвычайно низок, разработчики скрипта будут в ярости, да и скорей всего этот «скрипт» на самом деле бинарь на c++ без исходников. Поэтому проще просто изолировать буйного от приличного общества)

Ссылка

←	IMQ для 3.19.x

Наиболее явные отличия centos от Debian

→

А может он жиреет и за ним oom приходит?

Lavos ★★★★★
(30.03.15 15:47:40 MSK)

Ответ на: комментарий от Lavos 30.03.15 15:47:40 MSK

но мы же не думаем, что уважаемый тс — полный дебил и не смотрел в логи?

anonymous
(30.03.15 15:49:47 MSK)

Шаредхостинг? :) А не проще ли в pid файл писать НЕ верный pid, от балды. lol. Чтобы апач стартовал и врал по какому пиду он сидит he-he.

menangen ★★★★★
(30.03.15 15:50:51 MSK)

Ссылка

Ответ на: комментарий от anonymous 30.03.15 15:49:47 MSK

но мы же не думаем, что уважаемый тс — полный дебил

а зря! он тут примерно каждую неделю подобный бред спрашивает

anonymous
(30.03.15 15:51:47 MSK)

Ссылка

Ответ на: комментарий от anonymous 30.03.15 15:49:47 MSK

Ну ладно, тогда так:

# /etc/init.d/auditd start
 * Starting auditd ...                          

# auditctl -a exit,always -S kill

$ killall -9 mc

# grep kill /var/log/audit/audit.log
type=SYSCALL msg=audit(1427720434.127:30): arch=40000003 syscall=37 success=yes exit=0 a0=672e a1=9 a2=672e a3=0 items=0 ppid=6962 pid=26422 auid=5000 uid=5000 gid=5000 euid=5000 suid=5000 fsuid=5000 egid=5000 sgid=5000 fsgid=5000 tty=pts7 ses=1 comm="killall" exe="/usr/bin/killall" key=(null)

Lavos ★★★★★
(30.03.15 16:01:22 MSK)
Последнее исправление: Lavos 30.03.15 16:02:24 MSK (всего исправлений: 1)

Ссылка

Мну тебя огорчит, SIGKILL принципиально невозможно перехватить. Узнать же, от куда он пришёл, тоже не совсем тривиально.

beastie ★★★★★
(30.03.15 16:05:47 MSK)

Ответ на: комментарий от beastie 30.03.15 16:05:47 MSK

Да нет, Lavos в общем-то годный способ написал.

~~kirk_johnson~~ ★☆
(30.03.15 16:31:45 MSK)

Ссылка

https://github.com/brendangregg/perf-tools/blob/master/examples/killsnoop_exa...

Manhunt ★★★★★
(30.03.15 17:26:46 MSK)

Ссылка

Ответ на: комментарий от beastie 30.03.15 16:05:47 MSK

Подсистемой tracing ядра можно много чего перехватить, в т.ч. и это. Это обработчик на 9 вешать нельзя.

post-factum ★★★★★
(30.03.15 17:29:53 MSK)

Ответ на: комментарий от post-factum 30.03.15 17:29:53 MSK

Кроме того, есть вариант перехватить вызов kill в отсылающей программе с помощью LD_PRELOAD (т.е. на уровне обращения к glibc). http://habrahabr.ru/post/199090/

Manhunt ★★★★★
(30.03.15 17:36:25 MSK)
Последнее исправление: Manhunt 30.03.15 17:37:14 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от beastie 30.03.15 16:05:47 MSK

а что, в бсдях нету базовых средств аудита и system-level профилеров/отладчиков?

anonymous
(30.03.15 17:36:53 MSK)

Ответ на: комментарий от anonymous 30.03.15 15:49:47 MSK

но мы же не думаем, что уважаемый тс — полный дебил и не смотрел в логи?

Разве есть основания этот вариант не рассматривать? :D

Manhunt ★★★★★
(30.03.15 17:43:20 MSK)

Ссылка

auditd

upd. А, выше уже сказали.

Deleted
(30.03.15 17:55:15 MSK)
Последнее исправление: Deleted 30.03.15 17:55:36 MSK (всего исправлений: 1)

Ссылка

Ответ на: комментарий от post-factum 30.03.15 17:29:53 MSK

Обработчик — это и есть «перехватить». Собственно это и имелось в виду. А вот, как узнать, кто послал — это уже другая история.

beastie ★★★★★
(30.03.15 18:29:03 MSK)

Ответ на: комментарий от anonymous 30.03.15 17:36:53 MSK

а что, в бсдях нету базовых средств аудита и system-level профилеров/отладчиков?

http://mdoc.su/o/ktrace

beastie ★★★★★
(30.03.15 18:38:46 MSK)

Ответ на: комментарий от beastie 30.03.15 18:38:46 MSK

и как им перехватить SIGKILL?

anonymous
(30.03.15 18:39:45 MSK)

Ответ на: комментарий от anonymous 30.03.15 18:39:45 MSK

Зачем его перехватывать???

beastie ★★★★★
(30.03.15 18:44:06 MSK)

Ответ на: комментарий от beastie 30.03.15 18:44:06 MSK

таково техзадание. или нельзя, и ты пытаешься перевести тему

anonymous
(30.03.15 18:49:43 MSK)

Ответ на: комментарий от beastie 30.03.15 18:29:03 MSK

Вот если именно перехватить, то kprobes в подгружаемом модуле (или что там для подмены сисколлов на уровне ядра).

post-factum ★★★★★
(30.03.15 18:52:17 MSK)

Ссылка

Ответ на: комментарий от anonymous 30.03.15 18:49:43 MSK

ТЗ в таком представлении не имеет смысла, т.к. по спецификации:

«processes can ignore, block, or catch all signals except SIGSTOP and SIGKILL»†

Нет, можно конечно наваять свой модуль ядра и всё такое прочее, но это уже другое ТЗ. Штатными средствами — никак.

beastie ★★★★★
(30.03.15 19:00:08 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	IMQ для 3.19.x

Admin

Наиболее явные отличия centos от Debian

→

Похожие темы