Добрый день!
Помогите, пожалуйста, разобраться, откуда берутся, и что это могут быть за процессы, которые грузят сильно сервер. Я их удаляю (и сами файлы и процессы), а они опять появляются через время. Никак не разберусь откуда они берутся и что сделать чтобы они не появлялись.
На данный момент проверил на вирусы maldet.
Было несколько php.generic.malware.444, php.generic.malware.443, php.generic.malware.442, php.base64.v23au.186. Я их удалил, они сидели в файлах.
Поменял все пароли ssh, ftp, mysql.
Скриншот top, в котором видны эти процессы и степень загрузки прикреплен к сообщению.
Сами файлы создаются в папке home/admin/tmp, полные их имена видно в скриншоте.
Версия ОС
Distributor ID: Debian
Description: Debian GNU/Linux 8.9 (jessie)
Release: 8.9
Codename: jessie
Периодически появляются процессы, которые сильно грузят сервер
Модератор: Bizdelnick
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Периодически появляются процессы, которые сильно грузят сервер
Что торчащего в интернет крутится на сервере? Какая-то CMS? Под каким пользователем? Какие права доступа к /home/admin и /home/admin/tmp? Пароли поменяли, а авторизованные ключи вычистить не забыли? В /var/log/auth.log нет информации о подозрительных входах в систему?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Периодически появляются процессы, которые сильно грузят сервер
На сервере крутятся сайты на Wordpress
Сайты размещены в каталоге web пользователя admin
На папку admin права такие drwxr-xr-x 6 admin admin 4096 Sep 1 06:56 admin
На папку tmp drwx------ 3 admin admin 17113088 Sep 6 20:37 tmp
Ключи не чистил. Может подскажите как правильно это сделать чтоб ничего не нарушить?
Bizdelnick писал(а): ↑06.09.2017 19:34В /var/log/auth.log нет информации о подозрительных входах в систему?
По SSH удачных входов кроме своих не заметил. Хотя попыток входа с других адресов много
Есть, правда, такие
sudo: pam_unix(sudo:session): session opened for user root by (uid=0)
Потом через секунду
sudo: pam_unix(sudo:session): session closed for user root
Можете посоветовать как быстро проанализировать лог?
- Bizdelnick
- Модератор
- Сообщения: 20794
- Статус: nulla salus bello
- ОС: Debian GNU/Linux
Re: Периодически появляются процессы, которые сильно грузят сервер
Скорее всего дыра в вордпрессе (или каком-то плагине). Смотрите access.log на предмет подозрительных запросов.
А сами скрипты выполняются от его же имени, я правильно понял?
А сами скрипты выполняются от его же имени, я правильно понял?
Пишите правильно:
в консоли вку́пе (с чем-либо) в общем вообще | в течение (часа) новичок нюанс по умолчанию | приемлемо проблема пробовать трафик |
Re: Периодически появляются процессы, которые сильно грузят сервер
Посмотрите все crontab'ы (всех пользователей).
Нет ли там каких-то задач, которые вы совершенно определенно не вносили?
Обычно, все cron-таблицы лежат в /var/spool/cron/<username> (с Debian в чистом виде не работал, не уверен)
Нет ли там каких-то задач, которые вы совершенно определенно не вносили?
Обычно, все cron-таблицы лежат в /var/spool/cron/<username> (с Debian в чистом виде не работал, не уверен)
Re: Периодически появляются процессы, которые сильно грузят сервер
Что под этим подразумевается? Ключи SSH для юзера? Ключи SSH для сервера (openssh)?