Периодически появляются процессы, которые сильно грузят сервер

vam · Сообщение **vam** » 06.09.2017 18:43

Добрый день!

Помогите, пожалуйста, разобраться, откуда берутся, и что это могут быть за процессы, которые грузят сильно сервер. Я их удаляю (и сами файлы и процессы), а они опять появляются через время. Никак не разберусь откуда они берутся и что сделать чтобы они не появлялись.

На данный момент проверил на вирусы maldet.
Было несколько php.generic.malware.444, php.generic.malware.443, php.generic.malware.442, php.base64.v23au.186. Я их удалил, они сидели в файлах.
Поменял все пароли ssh, ftp, mysql.

Скриншот top, в котором видны эти процессы и степень загрузки прикреплен к сообщению.

Сами файлы создаются в папке home/admin/tmp, полные их имена видно в скриншоте.

Версия ОС
Distributor ID: Debian
Description: Debian GNU/Linux 8.9 (jessie)
Release: 8.9
Codename: jessie

Сообщение **Bizdelnick** » 06.09.2017 19:34

Что торчащего в интернет крутится на сервере? Какая-то CMS? Под каким пользователем? Какие права доступа к /home/admin и /home/admin/tmp? Пароли поменяли, а авторизованные ключи вычистить не забыли? В /var/log/auth.log нет информации о подозрительных входах в систему?

vam · Сообщение **vam** » 06.09.2017 21:03

Bizdelnick писал(а): ↑
06.09.2017 19:34
Что торчащего в интернет крутится на сервере? Какая-то CMS?

На сервере крутятся сайты на Wordpress

Bizdelnick писал(а): ↑
06.09.2017 19:34
Под каким пользователем?

Сайты размещены в каталоге web пользователя admin

Bizdelnick писал(а): ↑
06.09.2017 19:34
Какие права доступа к /home/admin и /home/admin/tmp?

На папку admin права такие drwxr-xr-x 6 admin admin 4096 Sep 1 06:56 admin

На папку tmp drwx------ 3 admin admin 17113088 Sep 6 20:37 tmp

Bizdelnick писал(а): ↑
06.09.2017 19:34
Пароли поменяли, а авторизованные ключи вычистить не забыли?

Ключи не чистил. Может подскажите как правильно это сделать чтоб ничего не нарушить?

Bizdelnick писал(а): ↑
06.09.2017 19:34
В /var/log/auth.log нет информации о подозрительных входах в систему?

По SSH удачных входов кроме своих не заметил. Хотя попыток входа с других адресов много

Есть, правда, такие
sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Потом через секунду
sudo: pam_unix(sudo:session): session closed for user root

Можете посоветовать как быстро проанализировать лог?

Сообщение **Bizdelnick** » 06.09.2017 21:19

Скорее всего дыра в вордпрессе (или каком-то плагине). Смотрите access.log на предмет подозрительных запросов.

vam писал(а): ↑
06.09.2017 21:03
Сайты размещены в каталоге web пользователя admin

А сами скрипты выполняются от его же имени, я правильно понял?

v1k3ng · Сообщение **v1k3ng** » 27.09.2017 07:42

Посмотрите все crontab'ы (всех пользователей).
Нет ли там каких-то задач, которые вы совершенно определенно не вносили?
Обычно, все cron-таблицы лежат в /var/spool/cron/<username> (с Debian в чистом виде не работал, не уверен)

lone_wolf · Сообщение **lone_wolf** » 27.09.2017 08:43

Bizdelnick писал(а): ↑
06.09.2017 19:34
а авторизованные ключи вычистить не забыли?

Что под этим подразумевается? Ключи SSH для юзера? Ключи SSH для сервера (openssh)?

unixforum.org

Периодически появляются процессы, которые сильно грузят сервер

Периодически появляются процессы, которые сильно грузят сервер

Re: Периодически появляются процессы, которые сильно грузят сервер

Re: Периодически появляются процессы, которые сильно грузят сервер

Re: Периодически появляются процессы, которые сильно грузят сервер

Re: Периодически появляются процессы, которые сильно грузят сервер

Re: Периодически появляются процессы, которые сильно грузят сервер