înregistrare Logare
Puncte:1
merlin avatar Server

Sarcina procesorului 100% cauzată de serviciul „perfctl”

drapel in
merlin

Rulez un server AMD de înaltă performanță dedicat cu Ubuntu 20.04. de câteva luni.

Dintr-o dată, în seara asta, procesorul trage până la 100% până în punctul în care am oprit serviciul „perfctl” care a apărut la 2 dimineața.

Eu rulez Apparmor:

modulul apparmor este încărcat.
Sunt încărcate 8 profiluri.
8 profiluri sunt în modul de aplicare.
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/sbin/mysqld
   /{,usr/}sbin/dhclient
   lsb_release
   nvidia_modprobe
   nvidia_modprobe//kmod
0 profiluri sunt în modul reclamație.
1 procese au profiluri definite.
1 procese sunt în modul de aplicare.
   /usr/sbin/mysqld (1124) 
0 procese sunt în modul reclamație.
0 procese sunt neconfinate, dar au un profil definit.

Ce ar fi putut cauza acest lucru și cum poate fi prevenit acest lucru în viitor?

sarcina procesorului

servicii care ruleazădupă uciderea serviciului

231
0 + 0
Puncte:1
avatar Server
drapel cn
shearn89

Faptul că utilizatorul este www este un pic suspect. Executați AppArmor? Executați un serviciu web care este expus publicului?

Mi se pare că serverul tău este compromis și cineva a folosit www utilizator pentru a rula un binar pe care l-au apelat perfectl pentru a-și ascunde identitatea.

Poate doriți să citiți Cum fac față unui server compromis?

0 + 0
merlin avatar
drapel in
merlin
Asta nu sună bine.După ce a ucis serviciul, a revenit câteva ore mai târziu, de două ori. Același nume de proces. Am actualizat Word-Press și toate pluginurile acestuia, precum și sistemul în sine (ubuntu 20.04.4). Utilizatorul www rulează apache numai cu o pagină wordpress. Pluginurile au întârziat cu aproximativ 6 luni cu actualizări, iar serverul cu aproximativ 4 săptămâni. Am verificat autentificarea cu acel utilizator, niciuna. Cu toate acestea, opțiunea „nologin” nu a fost setată pentru ea, ceea ce am făcut-o acum, plust set un pw pentru ea. Încă sper că acest lucru este suficient, configurarea serverului este o sarcină de mai multe zile. Rulez apparmor.Alte idei?
0
Răspunde
drapel cn
shearn89
Actualizarea după fapt nu este de mare folos - oricine v-a compromis serverul probabil are încă acces, iar actualizarea sistemului nu va elimina niciun program malware instalat.
0
Răspunde
merlin avatar
drapel in
merlin
OK am ințeles. Cu toate acestea, doar utilizatorul www este afectat. Ar fi util să ștergeți utilizatorul și toate fișierele acestuia? Din înțelegerea mea, fără acces root, utilizatorul fără privilegii www nu poate atinge nicio altă parte a sistemului.
0
Răspunde
drapel cn
shearn89
„fără acces root, utilizatorul fără privilegii www nu poate atinge nicio altă parte a sistemului”. - acest lucru presupune că nu au exploatat serverul în timp ce a fost cu 6 luni în urmă cu patch-uri... Modul în care te descurci cu asta depinde de toleranța ta la risc. Aș șterge serverul și aș face reprovisioning.
0
Răspunde
merlin avatar
drapel in
merlin
nu, serverul a fost cu maxim 4 săptămâni în urmă patch-urilor.
0
Răspunde
drapel cn
shearn89
„Pluginurile au întârziat cu aproximativ 6 luni cu actualizări”
0
Răspunde
merlin avatar
drapel in
merlin
Pluginuri Word Press nu Linux
0
Răspunde
Puncte:0
Cody Chang avatar Server
drapel us
Cody Chang

Am întâlnit același malware.

Puteți încerca să verificați toate sarcinile cronjob dacă sunt suspecte sau nu.

  • verificați lista de joburi cron cu toți utilizatorii
pentru utilizator în $(cut -f1 -d: /etc/passwd); do echo $user; crontab -u $user -l; Terminat

Am găsit malware-ul cu comanda de mai sus, atunci ar trebui să îl eliminați.

www
11 * * * * /home/www/.config/cron/perfcc
0 + 0
John Greene avatar
drapel cn
John Greene
Și verificați `/etc/rc.local` pentru orice modificări care ar putea încerca să le mențină malware-ul în viață după repornire.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.