Процесс завершается при завершении родителя

Те вы даже md5 не сравнили? :) Ну, добиться совпадающих размеров и дат - совсем просто.

А кроме прочего, остаются еще и библиотеки, которые использует top:

$ ldd /usr/bin/top
	linux-vdso.so.1 =>  (0x00007fff5d9ff000)
	libproc-3.2.8.so => /lib/libproc-3.2.8.so (0x00002afa5bb8f000)
	libncurses.so.5 => /lib/libncurses.so.5 (0x00002afa5bdb4000)
	libc.so.6 => /lib/libc.so.6 (0x00002afa5bffb000)
	libdl.so.2 => /lib/libdl.so.2 (0x00002afa5c35c000)
	/lib64/ld-linux-x86-64.so.2 (0x00002afa5b96f000)

Да, если вирус параноик, он и под размер подстроится, я вообще не допускаю вариант с вирусом)

md5 совпал, ldd отличия только в цифрах в скобках :)

Нет, вероятнее всего заменен просто другой файл. Какой(ие) - вам намекнули.

Но вообще, помните что никакой rocket-science в подделке дат/размеров файлов - нету. Это не я придумал.

Приятно слышать это от того, у кого уже не один сервер порутали. Значит наука пошла на пользу :)

Хотя кроме "не допущений" - заметных изменений знаний в этой области у вас не заметно пока, увы.

ldd - это еще не проверка целостности.

Ну что вы придумываете :)

Вирус на уровне root у меня был только 1 раз, это было очень давно на системе которая работала 2-3 года без apt-get update/upgrade. Причём я вычислил все тонкости как он пробрался, была высокая уязвимость в exim4.

Сейчас я обновляю пакеты постоянно, и рутом пользуюсь очень аккуратно. В те времена я только начинал изучать Linux, вообще это не моя специальзация, а выбора нет. Конечно нет никакой гарантии что там нет вируса, но эту вероятность я не ставлю на передний план.

Вообщем буду делать перезагрузку, надеюсь поможет.

Вообще-то библиотеки могут быть изменены из-за prelink. Вполне возможно, что ldd покажет разный адрес на разных системах.

Dimanych, у меня такое бывало на FreeBSD. Возникало, когда Apache зацикливался в силу разных причин. До рестарта этого самого Апача top по другим процессам показывало по нолям, хотя там десятки других процессов было (и они запросы обрабатывали точно).

Сегодня еще заметил. Стоит машинка не сильно нагруженная. Запустил на нее слив по rsync большого объема мелких файлов с другого сервака в локалке. rsync кушает 12-15% проца, при этом другие процессы даже с нулевой активностью показывают по 5%. как top считает проценты - хз. обычно все нормально, но крайне редко глюки бывают.

так что мой вам совет: перезапустите все демоны, которые не влияют на работу системы :)

И? "Цифирки в скобках" не имеют непосредственного отношения к целостности. В частности, не указывают на то что какая-нибудь libproc.so была подменена. Но и не исключают этого.

Почему вы думаете, что активность "нулевая"? Весьма вероятно, что они очень даже диска ждут.

Хороший повод это узнать, а не бросаться сразу все "перезагружать" ;)

Бедные бсдшники... - все с барабанами вокруг сервера прыгают, авось взлетит. 😂

myhand, и то, что надо исключить prelink прежде чем делать выводы на основе несовпадений цифирек в скобках и md5

ну, я полагаю, тут риторика :)

iHead рестарт практически всех служб не помог)