Форум Сайтостроение Администрирование серверов

100% процессора и непонятные *.pl процессы

12 3
[Удален]
2890

Здравствуйте, уважаемые админы.

В последнее время, в основном ночью, загрузка процессора на VDS подскакивает до 100% и выше. XEN, 512 Mb, gandi.net. Во время этих пиков в топе вижу процессы www-data perl, lsof -c perl показывает, что работают какие-то скрипты с непонятными названиями типа kvb.pl, lsabcuc.pl и т.п. Установлена панель ISP Manager, Apache2+Nginx, PHP5+APC, MySQL. Почтовые сервера и DNS сервер не установлены. В обычное время VDS крутится замечательно, сайты и нагруженный форум просто летают. Я даже удалил AWStats, думая что он при обработке статистики так грузит систему. На админа денег нет, поэтому интересуюсь на форуме. Спасибо за любую помощь.

p.s. Эти 100% выдает мне панель ганди. При этом VDS тормозит, но не сильно, не так, как ожидалось бы. В top я гляжу, но не пойму, где там 100% "ловить".

nick_c
На сайте с 21.04.2008
Offline
89
nick_c
#1
marazmus:
Здравствуйте, уважаемые админы.

В последнее время, в основном ночью, загрузка процессора на VDS подскакивает до 100% и выше. XEN, 512 Mb, gandi.net. Во время этих пиков в топе вижу процессы www-data perl, lsof -c perl показывает, что работают какие-то скрипты с непонятными названиями типа kvb.pl, lsabcuc.pl и т.п. Установлена панель ISP Manager, Apache2+Nginx, PHP5+APC, MySQL. Почтовые сервера и DNS сервер не установлены. В обычное время VDS крутится замечательно, сайты и нагруженный форум просто летают. Я даже удалил AWStats, думая что он при обработке статистики так грузит систему. На админа денег нет, поэтому интересуюсь на форуме. Спасибо за любую помощь.

В кроне ничего нету лишнего? 

cat /etc/crontab

Посмотрите полный путь откуда выполняются скрипты, посмотрите что в скриптах. 

ps -aux
Эффективная раскрутка сайта (http://raskrutka.com.ua) в Google.
W
На сайте с 16.04.2006
Offline
60
websmith
#2

Во первых нужно удалить эти файлы, их можно найти через миднайт коммандер.

Включите в php open_base_dir или safe_mode.

Если есть скрипты с правами 777 измените права на 644.

Если не пользуетесь перлом, отключите

VPS / VDS, виртуальный платный и бесплатный хостинг (http://www.granthost.org/)
Как работают сервисы для Структура файлов и папок Как удалить через ФТП
[Удален]
#3

В кронтабе только ссылки на "подкроны". Часовой крон я вообще закомментил, на всякий, на время "разборок". 


SHELL=/bin/sh

PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin



# m h dom mon dow user  command

#16 *   * * *   root    cd / && run-parts --report /etc/cron.hourly

43 1    * * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.daily )

5 1     * * 7   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.weekly )

54 1    1 * *   root    test -x /usr/sbin/anacron || ( cd / && run-parts --report /etc/cron.monthly )

И из подкронов все поубирал, оставил только: 


 ls /etc/cron.daily/

quota  standard  sysklogd



ls /etc/cron.weekly/

sysklogd



 ls /etc/cron.monthly/

proftpd  standard

В /etc/cron.d еще скрипт по очистке сессий PHP5. И в принципе все.

Удаление файлов не прокатывает, так как find / -name "*kbm.pl*" ничего не выдает - нечего удалять :(

Насчет отключения перла - не отвалится ли панель (ISP manager)?

Виснет веб-сервер во время Сессии копятся на сервере Не удаляются старые сессии
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#4

Заливают скрипты и скорее всего шлют спам

Или сайты дырявые или пароль увели

Не стоит плодить сущности без необходимости
[Удален]
#5
Andreyka:
Заливают скрипты и скорее всего шлют спам
Или сайты дырявые или пароль увели

Ну у всех сайтов отключена возможность cgi-bin. Или это не поможет, если у кого-то из юзеров панели увели пароль от фтп?

Zaqwr
На сайте с 08.08.2007
Offline
111
Zaqwr
#6

посмотрите логи ftp, кто заливает/удаляет и какие файлы, скорее всего тут будет ответ.... perl нужно отключить тем пользователям, которые его не используют.... у пользователей есть доступ к крону/bash ?

Администрирование, Linux, Cisco, Juniper
qwartyr
На сайте с 19.10.2007
Offline
40
qwartyr
#7
Andreyka:
Заливают скрипты и скорее всего шлют спам
Или сайты дырявые или пароль увели

+1

скорее всего Вас поломали.

поставьте и настройте suhosin, изучите документацию по php.ini на предмет disable_function

профессиональное администрирование серверов (http://www.unixsupport.ru) отзывы (http://www.free-lance.ru/users/qwartyr/opinions/) на free-lance.ru
[Удален]
#8
qwartyr:
+1
скорее всего Вас поломали.
поставьте и настройте suhosin, изучите документацию по php.ini на предмет disable_function

This server is protected with the Suhosin Extension 0.9.12

Это то, о чем вы говорите? Нашел в своем phpinfo().

Пароль рутовый поменял.

Юзеры к крону доступ имели, через ISP Manager. Пойду отключу.

dex
На сайте с 14.04.2006
Offline
231
dex
#9

перл и си выключать, в тмп папки поглядеть (обычно там разводится)

если так не найти - можно clamav просканировать (хоть и говорят, типа не для того - я когда схватил руткит с комплектом - сам и половины не нашел, а сканер все нашел)

губит людей вода (подпись не продаю, в долг не даю)
Google: mobile-first индексация уже Джон Мюллер поделился своими Google: статус «Обнаружена, но
[Удален]
#10
dex:
перл и си выключать, в тмп папки поглядеть (обычно там разводится)
если так не найти - можно clamav просканировать

Скажите, а как отключить перл без его удаления? Debain 4. Просто у меня софт установлен через панель, и при попытке удаления перла через apt-get remove perl мне apt предлагает удалить и MYSQL-сервер, и PHP5, и еще кучу софта :(

Спасибо.

Google AdWords запустил версию Google: редиректы можно удалять Из Google Play удалили
12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий