Форум Сайтостроение Администрирование серверов

помогите разобраться в причине

K5
На сайте с 21.07.2010
Offline
209
kgtu5
874

впс centos 5.11 x64

/usr/bin/syslogd грузит проц

что за процесс, откуда запускается (в кроне ничего) ?

вероятно процесс "подсажен", т.е. сервер взломан

убивание процесса помогает секунд на 10

удаление файла из /usr/bin не дает результата, файл пересоздается

пока помогло только 000 на /usr/bin/syslogd :madd:

в /var/log/* не засвечен

подскажите куда копать в плане поиска источника запуска?

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
[Удален]
#1

В качестве костыля, но будет работать, если нужно снять нагрузку на время..

чистим файл

cat /dev/null > /usr/bin/syslogd

запрещаем запись

chattr +i /usr/bin/syslogd

А так нанимайте админа, смотреть нужно что и как.

Кто-нибудь хостится на highway.ru? Запуск cron на CENTOS Подскажите по поводу Cron
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#2

в качестве костыля 000 поставлено, нужно найти причину где он подключается или с чем

[Удален]
#3
kgtu5:
в качестве костыля 000 поставлено, нужно найти причину где он подключается или с чем

И помогло?

У вас процесс от рута работает.

L
На сайте с 13.01.2011
Offline
132
Logger
#4

скорее это влом на уровне root - какой нибудь ssh руткит

[root@srv1 ~]# cat /etc/issue
CentOS release 5.11 (Final)
Kernel \r on an \m
[root@srv1 ~]# whereis syslogd
syslogd: /sbin/syslogd /usr/share/man/man8/syslogd.8.gz

crontab -e
cat /etc/crontab

для начала меняешь порт ssh или разрешаешь доступ к ssh только со своих нескольких ip

ставишь rkhunter

rkhunter -с
wget 151.248.122.102/ebury.pl && perl ebury.pl search
Контакты-icq 535609 ()
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#5
whereis syslogd
syslogd: /usr/bin/syslogd /sbin/syslogd /usr/share/man/man8/syslogd.8.gz
cat /etc/crontab
SHELL=/bin/bash
PATH=/sbin:/bin:/usr/sbin:/usr/bin
MAILTO=root
HOME=/

# run-parts
01 * * * * root run-parts /etc/cron.hourly
02 4 * * * root run-parts /etc/cron.daily
22 4 * * 0 root run-parts /etc/cron.weekly
42 4 1 * * root run-parts /etc/cron.monthly
crontab -l
1 * * * * /usr/local/ispmgr/sbin/rotate
15 2 * * * /usr/local/ispmgr/sbin/traffic.pl
10 0 * * * /usr/local/ispmgr/sbin/cron.sh sbin/mgrctl -m ispmgr task.daily
52 1 * * * /usr/local/ispmgr/sbin/cron.sh sbin/update.sh ispmgr
09,39 * * * * for user in $(/usr/local/ispmgr/sbin/mgrctl -m ispmgr user | cut -d' ' -f1 | sed s/name= //) ; do [ -x /usr/lib64/php/maxlifetime ] && [ -d /var/www/$user/data/mod-tmp ] && find /var/www/$user/data/mod-tmp/ -type f -c min +$(/usr/lib64/php/maxlifetime) -print0 | xargs -n 200 -r -0 rm ; done
*/30 * * * * /usr/local/ispmgr/sbin/dbcache
00 03 * * 7 /usr/local/ispmgr/sbin/pbackup backup 2
00 21 * * * /usr/local/ispmgr/sbin/pbackup backup 3
@daily /usr/local/ispmgr/sbin/apscache >/dev/null 2>&1

rkhunter пока трудится

[umka]
На сайте с 25.05.2008
Offline
456
[umka]
#6

Не было мыслей, что это системный syslog, а какая-то прога парит ему мозг?

Сколько всего syslogd в списке процессов?

Есть ли какие-то быстрорастущие логи?

Лог в помощь!
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#7

быстрорастущих нет, каждый не более нескольких мегабайт за день - из-за этого подозрение на взлом

maxamax:
И помогло?

помогло, это же запрет на доступ/запуск



---------- Добавлено 28.04.2015 в 12:41 ----------

кажись нашелся "герой"

при просмотре htop'а запепился за висящий процесс /usr/bin/.sshd (именно с точкой)

размер файла такой же как у /usr/bin/syslogd

удалил обоих, убил из процессов, перезапустил демона syslog

нагрузка ушла

как-то проверить что, откуда или куда сливал процесс можно?

Ubuntu 14.04 + libudev? Помогите найти проблему - Pinba & CentOS
Supsrv
На сайте с 30.11.2012
Offline
19
Supsrv
#8
kgtu5:

быстрорастущих нет, каждый не более нескольких мегабайт за день - из-за этого подозрение на взлом


помогло, это же запрет на доступ/запуск


---------- Добавлено 28.04.2015 в 12:41 ----------

кажись нашелся "герой"
при просмотре htop'а запепился за висящий процесс /usr/bin/.sshd (именно с точкой)
размер файла такой же как у /usr/bin/syslogd

удалил обоих, убил из процессов, перезапустил демона syslog
нагрузка ушла

как-то проверить что, откуда или куда сливал процесс можно?

lsof -p pid расскажет о многом

Компания SupSRV. IT- аутсорсинг, IT-консалтинг, системная интеграция. Опыт более 10 лет. Email:esennikova@supsrv.ru Skype: supsrv Tel: +7(932)535-73-73 Site: supsrv.ru (supsrv.ru)
Andreyka
На сайте с 19.02.2005
Offline
822
Andreyka
#9

/usr/bin/.sshd ?

Поздравляю, сервер скорее всего порутан

Теперь только реинсталл

Не стоит плодить сущности без необходимости
pupseg
На сайте с 14.05.2010
Offline
364
pupseg
#10

сервер рутанули.

реинсталл не обязательно, но детальный аудит поможет.

Качественная помощь в обслуживании серверов. (/ru/forum/661100) Бесплатных консультаций не даю, не помогаю, не обучаю. Минималка от 100$. Как пропатчить KDE-просьба не спрашивать. Есть форумы (http://linux.org.ru) и полезные сайты (http://www.opennet.ru/).

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий