Процесс whois полностью убивает VPS

http://habrahabr.ru/post/186362/

ViZed, довольно странно чтобы в нормальной работе использовалась программа whois постоянно и уж тем более загружала сервер. Это просто клиент командной строки для сервиса whois.

Сервера whois противятся большему числу запросов с одного IP, поэтому есть вероятность что кто-то будет использовать взломанные сайты для запуска этой команды.

Предлагаю варварский, но простой способ : удалить файл /usr/bin/whois и посмотреть что сломается на сайте. Этот файл сайтам вряд ли нужен.

И прогнать антивирусами типа ai-bolit и lmd.

Лучше переименовать,

# mv /usr/bin/whois /usr/bin/whois-save

лучше просто chmod -x /usr/bin/whois

whois может быть скриптом,

который вызывается снаружи.

# /bin/sh /usr/bin/whois

Запрет выполнения не всегда помогает,

и даже запрет всех прав может не помочь,

если хитрая прилада хочет выполнить.

Если снести или переименовать,

то будет грубо, но надежно.

Переименовал. Посмотрим что будет.

Да, для справки. Сайтов на этом VDS нет совсем. Планировал использовать его для размещения видеозаписей для одного моего сайта, который находится на другом хостинге. Сейчас там находится лишь несколько десятков видеозаписей размером 80-100 МБ. Это всё. Ну, и разумеется на моем сайте есть плееры на разных страницах, куда вставлены ссылки на эти видео.

наличие грузящего процессор whois говорит что у вас взломаны сайты , куча шеллов и других левых скриптов. нужно зачистить сайты

ViZed:
Приветствую. Недавно заказал VPS, на котором планирую размещать видеозаписи для своего сайта. То есть, сайт находится на одном хостинге, а видео хранится на VPS. Столкнулся с такой проблемой. Едва-ли загрузил 20 видеозаписей и вставил их на сайт, как на графике нагрузки стал замечать нагрузку на процессор 100%. В списке процессов вижу некую команду whois, которая полностью загружает процессор. После этого лишь перезагрузка сервера решает проблему... на несколько часов. Потом снова появляется whois, и сервер ложится. Что это? В техподдержке написали [цитирую]:

Но как отрубить - не написали. Ну, и делать за меня, разумеется, это будут только за деньги (платная поддержка - 10 евро). Поэтому прошу помощи у тех, кто разбирается. Как исправить проблему? Ниже на картинке я попытался показать, как это выглядит в списке процессов в ISP manager. Заскринить не могу, потому что не имею доступа к серверу, когда этот процесс включается, а после перезагрузки его нет. Видел лишь этот whois единожды вчера, когда он положил процессор не полностью, а загрузил лишь на 92%.

P.S. Пользователь - возможно не root, а apache. Точно не помню. Но команда -- точно whois.

Я склоняюсь к тому, что Вас поломали. У Вас есть доступ по ssh к Вашему серверу?

Возможно, к Вам залили код и переименовали его во whois.

Зайдите на него под рутом (чтобы права были на поиск везде)

Наберите команду:

find / -name "*whois*" -type f

Вы увидите все файлы, которые называются whois.

Те, которые точно называются whois проверте, что они elf

Например, для моего фхуиза на ноутбуке:

=====================================

winner@Aspire-VN7-591G ~ $ file /usr/bin/whois

/usr/bin/whois: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), dynamically linked (uses shared libs), for GNU/Linux 2.6.24, BuildID[sha1]=f8f6af3adb6bc1c6c9430836d8c5199ec07347d0, stripped

Если У Вас будут несколько исполняемых whois по разным путяем, то это не нормально.

Проверте есть ли у Вас установленный пакет whois из репозитария. Удалите родной whois через пакетный менеджер.

Теперь у Вас не будет этого пакета вообще.

!!НО!! Остается проблема другая: как попал код whois и что с ним делать.

В любом случае удалите его.

================

Если Вы застали момент когда работает этот псевдо whois, то наберите команду lsof | less

Далее нажмите на клавишу / и далее напишите whois

Вы увидите какие файлы открыты этим whois и от куда он был запущен.

Далее убиваете процесс и начинаете чистку сервака.

================

Чисти не чисти машину от взлома - все равно где-то есть дырка через которую снова поломают.

Т.е. нужно найти еще и причину.

Именно сайты взломаны? Несмотря на то, что они НЕ находятся на данном VDS? Но как взломанные на другом хостинге сайты влияют на мой VDS?

Судя по всему речь идет про тот VPS, на котором у Вас что-то под видом whois грузит процессор.

Запросто злоумышленник мог эксплуотировать какую-либо уязвимость в ftp, ssh, http или еще чем.

Вы хостеру уже написали?

В любом случае поищите файл под названием whois, чтобы понять что там запускается и откуда.