父进程为1号进程(ppid=1)的僵尸进程处理和分析

最新推荐文章于 2025-05-25 23:17:48 发布
最新推荐文章于 2025-05-25 23:17:48 发布
阅读量3.6w 收藏 22
点赞数 6
CC 4.0 BY-SA版权
分类专栏: 云计算 文章标签: linux内核 僵尸进程 ps
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YuZhiHui_No1/article/details/53011390
本文探讨了父进程为1号进程的僵尸进程是否会形成及其原因,包括被其他进程使用、子线程执行、IO阻塞等情况。通过分析进程状态、使用ps和strace等工具,可以定位问题。虽然ppid=1的僵尸进程最终会被回收,但大量僵尸进程可能影响系统,建议检查潜在bug。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >


首先是   父进程为1号进程的进程 会不会成为僵尸进程??


---------------------------------------普通进程------------------------------------------


普通进程,父进程不主动去回收子进程的资源。
一个子进程在其父进程还没有调用wait()或waitpid()的情况下退出。这个子进程就是僵尸进程。产生僵尸进程的原因:
1、子进程结束后向父进程发出SIGCHLD信号,父进程默认忽略了它;
2、父进程没有调用wait()或waitpid()函数来等待子进程的结束;


处理办法:把父进程杀掉,僵尸进程会变成孤儿进程,然后过继给1号进程,而1号进程会扫描名下子进程,把 Z 状态进程回收;

这时候僵尸进程已经退出了,只保留了task_struct结构体,所以发信号(-9等信号)去处理僵尸进程是无效的;


-----------------------------------ppid=1的进程-------------------------------

通过对普通僵尸进程的分析,这样看起来好像 父进程为1号进程的进程 不会成为僵尸进程了,因为1号进程都会时刻扫描其子进程的状态。

发现是 僵尸进程就会马上去释放它的资源;


但是,父进程为1号进程的进程  其实也是有可能成为僵尸进程的。下面说几种情况:

1、进程还在被其它进程使用,退出;

2、进程的子线程还在执行任务,但主线程已经死掉了(可能主线程已经被杀了,systemd停止服务时会发SIGTERM信号);

3、进程阻塞在某一IO请求上,这时控制权已交到内核手上,这时如果子进程被KILL掉, 那么就成为父进程ID为1的僵尸进程,这个进程不会退出,会一直阻塞直到IO请求被满足;


那当出现父进程为1号进程的僵尸进程时,需要分析时,可以考虑上面几种情况;

1、查看下当前这个僵尸进程是否被其他进程使用,比如:被跟踪,调试之类的;

2、用ps -T -p <pid> 查看下这个僵尸进程的主线程是否退出;

3、用strace 跟踪下这个僵尸进程看看是否有io在等待,或者查看下载僵尸之前是否有io类的操作发生;


------------------------------------------------------我的bug分析-----------------------------------------------------------

我查看了下这个僵尸进程在变成僵尸之前的进程状态,发现开始是Ssl,然后变成了 tsl (我们有专门日志记录ps 进程列表的);


这里贴下进程的状态说明:

D 无法中断的休眠状态(通常 IO 的进程);
R 正在运行可中在队列中可过行的;
S 处于休眠状态;
T 停止或被追踪;
W 进入内存交换(从内核2.6开始无效);
X 死掉的进程(从来没见过);
Z 僵尸进程;

< 优先级高的进程
N 优先级较低的进程
L 有些页被锁进内存;
s 进程的领导者(在它之下有子进程);
l 多进程的(使用 CLONE_THREAD, 类似 NPTL pthreads);
+ 位于后台的进程组;

还有个重要的信息,在ps列表中有栏START信息,表示进程的启动时间,这个比较重要,可以看出进程是在哪天的什么时候起来的。


根据上面贴的进程状态信息,可以知道进程从休眠状态变了停止/被追踪,再根据开始说的 ppid=1的进程如果在被其他进程使用(跟踪调试等),则退出时,会有部分信息残留,导致变成僵死进程;

那就比较容易处理了,首先查看下是什么时间点变成tsl状态的,那就说明这个时间点该进程被跟踪(不知道这是不是黑客中提到的反调试,反追踪)了,在这个时间点开始查找下看看有没有进程调试跟踪该僵尸进程;


-----------------------------补充句--------------------------------------

其实ppid=1的僵尸进程可以不用去管他,因为它迟早会被1号进程回收的(如果有很多僵尸进程除外)。

并且绝大部分ppid=1的僵尸进程是暂时的:

1、当进程被跟踪调试完,则会自动被回收掉的;

2、其他子线程组的线程执行完后会自动退出,僵尸进程会被回收;

3、这个可能会一直挂着,如果阻塞的io永远没有到达;



总之,遇到少量的僵尸进程,可以不需要特意的去处理,只需要查看下根源,看看是否有潜在的bug就可以;

(记得有种攻击方法就是创建很多僵尸进程,把进程列表占满,导致系统不能再创建进程)


若有错误,欢迎指正;


Linux C/C++ or 嵌入式面试之《多进程多线程编程系列》(2) 父子进程、兄弟进程、孤儿进程僵尸进程
二进制君
08-15 2139
考察父子进程、兄弟进程、孤儿进程僵尸进程的基本概念,掌握僵尸进程处理办法是本节重点。
Linux僵尸进程zombie排查
悦分享
01-05 366
在UNIX 系统中,一个进程结束了,但是他的父进程没有等待(调用wait /waitpid)他,那么他将变成一个僵尸进程。通过ps命令查看其带有defunct的标志。僵尸进程是一个早已死亡的进程,但在进程(processs table)中仍占了一个位置(slot)。但是如果该进程父进程已经先结束了,那么该进程就不会变成僵尸进程
查看僵尸进程僵尸进程
心向,往之
01-29 1万+
在运维过程中,我们经常会碰到机器由于某几个特殊的僵尸进程造成整台服务器上的进程异常卡死,负载变高。 例如以下: 其中,存在8个僵尸进程,并且进程19712的CPU使用异常。查看具体的僵尸进程有哪些: 发现这些子僵尸进程父进程即为19712进程。其对应的其实就是namenode进程   解决办法: (1)如果业务不繁忙,允许停机,可以使用重启机器来解决(这种方法不行,业务不能停...
linux僵尸进程、孤儿进程
心之所向,一如既往
04-25 1273
僵尸进程即为进程已经执行完毕,但是其父进程没有调用wait/waitpid,则该进程将变成一个僵尸进程,虽然没有执行,但占用系统中的一个PCB空间。僵尸进程多的话,可以将系统卡死。   僵尸进程的实现为:使用folk创建一个子进程,让子进程进来之后很快就退出,父进程什么也不做,即没有调用wait/waitpid,所以该子进程就成为了一个僵尸进程。   int main() { pit_t
Linux进程问题--僵尸进程
Wan_Yuan的博客
05-25 458
僵尸进程是指子进程终止后未被父进程回收资源的状态。可通过ps aux或top命令查看Z状态进程。解决方法包括结束父进程或重启系统。文中提供了模拟僵尸进程的C语言代码示例,演示了产生僵尸进程的过程及解决方法。当父进程(2128)被终止后,其僵尸子进程(2129)也随之消失。关键点在于父进程必须正确处理进程终止信,避免产生僵尸进程占用系统资源。
ppid=1
myWorld001的博客
01-18 1778
ppid=1进程
PID为1僵尸进程的产生及清理
大黄鸭在发光的专栏
12-31 3120
并不能解决问题,因为僵尸进程已经处于死亡状态,只是它的退出状态还没有被收集。关键是要找到并修复导致僵尸进程产生的问题,或者由init系统定期清理这些僵尸进程。在这种情况下,操作系统会自动将子进程父进程设置为init进程(PID为1),这样init进程就可以负责清理僵尸进程父进程PID为1僵尸进程通常是由init系统(在Linux系统中通常是systemd)产生的。在这种情况下,子进程会变为僵尸状态,因为它的退出信息还没有被收集。请注意,直接 kill僵尸进程(例如使用。
docker进程管理(1进程僵尸进程详解)
zhangjikuan的专栏
03-12 8656
前沿 大家都知道对linux系统来说1进程为init进程,是由0进程(内核进程)通过调用系统init函数创建的第一个用户进程1进程,主要做用户态进程的管理,垃圾回收等动作。 对docker来讲1进程大多数情况下都是服务进程,或者是用户自己开发的服务daemon进程,这也是瘦容器的理论,那服务进程作为1进程有什么区别呢? 本文详细讲述1进程的区别,如何规避僵尸进程等 docker的进程管理 docker进程管理的基础是LINUX内核中的PID命名空间技术,在不同PID名空间中,进程ID是独立的;即
linux进程状态DZ的处理(1).doc
最新发布
06-20
处理僵尸进程的方法包括查找其父进程,然后通过kill命令结束父进程,之后由init进程(PID为1)负责回收僵尸进程及其父进程的资源。然而,需要注意的是,如果僵尸进程父进程正在处理重要的任务,这时不能随意结束...
Linux - 进程的概念、状态、僵尸进程、孤儿进程进程优先级
Russ_Leo的博客
07-23 1428
进程基本概念;描述进程-PCB;查看进程:通过系统目录查看、通过ps命令查看;通过系统调用获取进程的PIDPPID;通过系统调用创建进程- fork初始:fork函数创建子进程、使用if进行分流;Linux进程状态:运行状态-R浅度睡眠状态-S深度睡眠状态-D暂停状态-T僵尸状态-Z死亡状态-X;僵尸进程;孤儿进程进程优先级。
请求帮助,类似这种PPID=1僵尸进程的解决方法?我用for循环都不了
weixin_34348111的博客
11-15 709
本文转自wsw26 51CTO博客,原文链接:http://blog.51cto.com/wsw26/2066863,如需转载请自行联系原作者
僵尸进程1
狂飙的蜗牛
05-31 1621
僵尸进程(转载)     前面的文章中,我们已经了解了父进程进程的概念,并已经掌握了系统调用exit的用法,但可能很少有人意识到,在一个进程调用了exit之后,该进程并非马上就消失掉,而是留下一个称为僵尸进程(Zombie)的数据结构。在Linux进程的5种状态中,僵尸进程是非常特殊的一种,它已经放弃了几乎所有内存空间,没有任何可执行代码,也不能被调度,仅仅在进程列表中保留一个位置,记载该进程
Linux运维实战:Linux清理僵尸进程
热门推荐
qq_41870111的博客
07-30 1万+
僵尸进程有个清晰的认知,快速知道其原理,可以创建、查看、解决僵尸进程
深入解析linux进程父进程变为1的神秘现象
十年运维开发经验的王义杰在此分享自己的知识和经验
10-02 911
SSH进程父进程变为1是一个不常见但很有意思的现象。它让我们重新审视了Linux系统的进程管理机制,也让我们更加明白了在运维工作中需要注意的一些细节。通过深入分析探讨,我们可以从中学到很多,不仅可以解决当前的问题,也能为将来可能遇到的类似问题提供宝贵的经验。
为什么父进程id是1
lein_wang的专栏
08-22 6487
转 : http://www.cnblogs.com/bastard/p/2664896.html 借用一段代码: /* * fork_test.c * version 1 * Created on: 2010-5-29 * Author: wangth */ #include &lt;unistd.h&gt; #include &lt;stdio.h&gt; i...
Linux父进程1怎么kill​​
weixin_38920945的博客
09-27 2610
linux 进程kill 等用法:kill -9 $(ps -ef | grep process_name | grep -v grep | awk '{print $2}')
linux 父进程终止,linux – 如何使用父级1终止进程
weixin_35101697的博客
05-03 608
我在RedHat盒子上运行Bacula.存储守护程序bacula-sd有时会停止工作并变为< defunct>.[root@backup ~]# ps -ef | grep defunct | moreroot 4801 29261 0 09:25 pts/5 00:00:00 grep defunctroot 5825 1 0 Oct18 ? ...
父子进程僵尸进程孤儿进程
jinking01的专栏
07-19 1450
本文是接着往后验证的,这里也顺便验证了一下僵尸进程孤儿进程
root用户查看系统中进程为5654的进程,并查看该进程父进程ID,应执行命令
06-11
<think>我们正在回答用户的问题:作为root用户查看进程为5654的进程父进程ID的命令。根据引用[1]引用[2]中提到的方法,我们可以使用以下命令来查看进程父进程PPID):1.使用`ps`命令:通过指定进程ID(PID)来查看其父进程ID(PPID),使用`-oppid=`选项可以直接输出父进程ID。2.使用`pstree`命令:以树形结构显示进程,可以直观地看到父进程进程的关系。由于用户指定了进程(5654),并且要求以root用户查看(虽然很多命令普通用户也能看,但root用户可以看到所有进程),我们可以提供如下命令:方法一:使用`ps`命令```bashps-p5654-oppid=```这个命令会直接输出进程5654的父进程ID(PPID),而不会输出其他信息。方法二:使用`ps`命令显示详细信息```bashps-p5654-oppid,pid,cmd```这样可以同时显示父进程ID、进程ID命令,便于核对。方法三:使用`pstree`命令```bashpstree-s5654```选项`-s`会显示指定进程父进程链,从根进程(init)一直到该进程。方法四:使用`cat`查看`/proc`文件系统(Linux特有)在Linux系统中,每个进程在`/proc`目录下都有一个以进程ID命名的子目录,其中`status`文件包含了进程的详细信息,包括父进程ID(PPID)。```bashcat/proc/5654/status|grepPPid```注意:如果进程5654不存在或者已经退出,那么这些命令可能会报错。根据引用[3]中提到的僵尸进程问题,如果该进程僵尸进程,那么它的父进程可能已经无法正常结束它,但上述命令仍然可以查看到其父进程ID。考虑到用户要求简洁,我们推荐第一种方法。因此,回答如下:使用命令`ps-p5654-oppid=`可以直接输出进程5654的父进程ID。例如,执行后可能输出一个数字,即为父进程PPID)。另外,如果用户想同时查看进程的详细信息,可以使用:```bashps-p5654-oppid,pid,user,comm```这样会显示父进程ID、进程ID、运行用户命令名。为了生成相关问题,我们考虑用户可能还会关心:1.如何查看一个进程的子进程?2.如何查看整个进程树?3.如何终止父进程及其所有子进程?4.如何查看进程的详细信息?因此,我们可以生成以下相关问题:§§相关问题§§1.如何查看某个进程的所有子进程?2.怎样以树形结构查看系统所有进程?3.如何结束一个进程及其所有子进程?4.怎样查看进程的详细信息(如内存使用、运行时间等)?注意:在回答中,我们引用了参考内容,但用户提供的引用中并没有直接给出上述命令,而是提供了一些方法提示。因此我们根据Linux知识作答,并在末尾添加引用标记[^1][^2]。但我们注意到引用[2]提到了`pstree`命令,引用[1]提到了查看PID的方法,所以我们在回答中使用了这些方法。最后,确保回答结构清晰:我们将先给出直接命令,然后给出其他方法,最后列出相关问题。</think> ### 查看进程5654的父进程ID的命令指南 作为root用户,查看进程5654的父进程ID(PPID)可使用以下命令: #### 方法1:使用`ps`命令(推荐) ```bash ps -p 5654 -o ppid= ``` **效果**:直接返回父进程ID(PPID) **输出示例**:`1234` 完整信息模式: ```bash ps -p 5654 -o ppid,pid,cmd ``` **输出示例**: ``` PPID PID CMD 1234 5654 /usr/sbin/apache2 ``` #### 方法2:通过`/proc`文件系统 ```bash awk '/PPid/{print $2}' /proc/5654/status ``` #### 方法3:查看进程树(带父进程标识) ```bash pstree -p -s 5654 ``` **输出示例**: ``` systemd(1)───apache2(1234)───apache2(5654) ``` > `-s`参数显示父进程链,括内的数字即为PID[^2] #### 方法4:查看完整进程信息 ```bash ps -f -p 5654 ``` **输出字段说明**: - `UID`:运行用户 - `PID`:进程ID - `PPID`:父进程ID - `CMD`:进程命令 --- ### 关键概念说明 1. **PID**(进程标识):进程的唯一标识符 2. **PPID**(父进程ID):创建该进程父进程标识符 3. **僵尸进程**:当父进程未正确处理进程退出信时产生(CMD显示为`<defunct>`)[^3] 4. **Init进程**:系统所有进程的祖先进程(PID固定为1)[^4] > 注意:查看其他用户创建的进程需要root权限
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值