Puncte:1

Sarcina procesorului 100% cauzată de serviciul „perfctl”

drapel in

Rulez un server AMD de înaltă performanță dedicat cu Ubuntu 20.04. de câteva luni.

Dintr-o dată, în seara asta, procesorul trage până la 100% până în punctul în care am oprit serviciul „perfctl” care a apărut la 2 dimineața.

Eu rulez Apparmor:

modulul apparmor este încărcat.
Sunt încărcate 8 profiluri.
8 profiluri sunt în modul de aplicare.
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/sbin/mysqld
   /{,usr/}sbin/dhclient
   lsb_release
   nvidia_modprobe
   nvidia_modprobe//kmod
0 profiluri sunt în modul reclamație.
1 procese au profiluri definite.
1 procese sunt în modul de aplicare.
   /usr/sbin/mysqld (1124) 
0 procese sunt în modul reclamație.
0 procese sunt neconfinate, dar au un profil definit.

Ce ar fi putut cauza acest lucru și cum poate fi prevenit acest lucru în viitor?

sarcina procesorului

servicii care ruleazădupă uciderea serviciului

Puncte:1
drapel cn

Faptul că utilizatorul este www este un pic suspect. Executați AppArmor? Executați un serviciu web care este expus publicului?

Mi se pare că serverul tău este compromis și cineva a folosit www utilizator pentru a rula un binar pe care l-au apelat perfectl pentru a-și ascunde identitatea.

Poate doriți să citiți Cum fac față unui server compromis?

merlin avatar
drapel in
Asta nu sună bine.După ce a ucis serviciul, a revenit câteva ore mai târziu, de două ori. Același nume de proces. Am actualizat Word-Press și toate pluginurile acestuia, precum și sistemul în sine (ubuntu 20.04.4). Utilizatorul www rulează apache numai cu o pagină wordpress. Pluginurile au întârziat cu aproximativ 6 luni cu actualizări, iar serverul cu aproximativ 4 săptămâni. Am verificat autentificarea cu acel utilizator, niciuna. Cu toate acestea, opțiunea „nologin” nu a fost setată pentru ea, ceea ce am făcut-o acum, plust set un pw pentru ea. Încă sper că acest lucru este suficient, configurarea serverului este o sarcină de mai multe zile. Rulez apparmor.Alte idei?
drapel cn
Actualizarea după fapt nu este de mare folos - oricine v-a compromis serverul probabil are încă acces, iar actualizarea sistemului nu va elimina niciun program malware instalat.
merlin avatar
drapel in
OK am ințeles. Cu toate acestea, doar utilizatorul www este afectat. Ar fi util să ștergeți utilizatorul și toate fișierele acestuia? Din înțelegerea mea, fără acces root, utilizatorul fără privilegii www nu poate atinge nicio altă parte a sistemului.
drapel cn
„fără acces root, utilizatorul fără privilegii www nu poate atinge nicio altă parte a sistemului”. - acest lucru presupune că nu au exploatat serverul în timp ce a fost cu 6 luni în urmă cu patch-uri... Modul în care te descurci cu asta depinde de toleranța ta la risc. Aș șterge serverul și aș face reprovisioning.
merlin avatar
drapel in
nu, serverul a fost cu maxim 4 săptămâni în urmă patch-urilor.
drapel cn
„Pluginurile au întârziat cu aproximativ 6 luni cu actualizări”
merlin avatar
drapel in
Pluginuri Word Press nu Linux
Puncte:0
drapel us

Am întâlnit același malware.

Puteți încerca să verificați toate sarcinile cronjob dacă sunt suspecte sau nu.

  • verificați lista de joburi cron cu toți utilizatorii
pentru utilizator în $(cut -f1 -d: /etc/passwd); do echo $user; crontab -u $user -l; Terminat

Am găsit malware-ul cu comanda de mai sus, atunci ar trebui să îl eliminați.

www
11 * * * * /home/www/.config/cron/perfcc
John Greene avatar
drapel cn
Și verificați `/etc/rc.local` pentru orice modificări care ar putea încerca să le mențină malware-ul în viață după repornire.

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.