บรรจวบ เข้าสู่ระบบ
Score:1
merlin avatar Server

โหลด CPU 100% เกิดจากบริการ "perfctl"

ธง in
merlin

ฉันใช้เซิร์ฟเวอร์ AMD ประสิทธิภาพสูงโดยเฉพาะกับ Ubuntu 20.04 ตั้งแต่ไม่กี่เดือน

จู่ๆ คืนนี้ CPU ก็พุ่งสูงถึง 100% จนถึงขั้นปิดบริการ "perfctl" ที่โผล่มาตอนตีสอง

ฉันกำลังเรียกใช้ Apparmor:

โหลดโมดูลเครื่องแต่งกายแล้ว
8 โปรไฟล์ถูกโหลด
8 โปรไฟล์อยู่ในโหมดบังคับใช้
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/sbin/mysqld
   /{,usr/}sbin/dhclient
   lsb_release
   nvidia_modprobe
   nvidia_modprobe//kmod
0 โปรไฟล์อยู่ในโหมดบ่น
1 กระบวนการมีการกำหนดโปรไฟล์
1 กระบวนการอยู่ในโหมดบังคับใช้
   /usr/sbin/mysqld (1124) 
0 กระบวนการอยู่ในโหมดบ่น
0 กระบวนการไม่ จำกัด แต่มีการกำหนดโปรไฟล์

อะไรเป็นสาเหตุของสิ่งนี้และจะป้องกันได้อย่างไรในอนาคต

โหลดซีพียู

บริการที่กำลังทำงานอยู่หลังจากฆ่าบริการ

231
0 + 0
Score:1
avatar Server
ธง cn
shearn89

ความจริงที่ว่าผู้ใช้คือ www เป็นที่น่าสงสัยเล็กน้อย คุณใช้ AppArmor หรือไม่ คุณกำลังใช้บริการเว็บที่เปิดเผยต่อสาธารณะหรือไม่?

ดูเหมือนว่าเซิร์ฟเวอร์ของคุณจะถูกบุกรุก และมีคนใช้ www ผู้ใช้เรียกใช้ไบนารีที่พวกเขาเรียก สมบูรณ์แบบ เพื่อปิดบังตัวตน

คุณอาจต้องการอ่าน ฉันจะจัดการกับเซิร์ฟเวอร์ที่ถูกบุกรุกได้อย่างไร?

0 + 0
merlin avatar
in flag
merlin
ฟังดูไม่ดีเลยหลังจากปิดบริการแล้ว มันก็กลับมาในไม่กี่ชั่วโมงต่อมา สองครั้ง ชื่อกระบวนการเหมือนกัน ฉันอัปเดต Word-Press และปลั๊กอินทั้งหมดรวมถึงตัวระบบด้วย (Ubuntu 20.04.4) ผู้ใช้ www เรียกใช้ apache กับหน้า wordpress เท่านั้น ปลั๊กอินช้ากว่าการอัปเดตประมาณ 6 เดือนและเซิร์ฟเวอร์ประมาณ 4 สัปดาห์ ฉันตรวจสอบการเข้าสู่ระบบด้วยผู้ใช้รายนั้น ไม่มีเลย อย่างไรก็ตาม ไม่ได้ตั้งค่าตัวเลือก "nologin" ไว้ ซึ่งตอนนี้ฉันทำไปแล้ว รวมทั้งตั้งค่า pw ให้ด้วย ฉันยังหวังว่านี่จะเพียงพอแล้ว การตั้งค่าเซิร์ฟเวอร์เป็นงานหลายวัน ฉันกำลังเรียกใช้ apparmor มีความคิดอื่นอีกไหม
0
ตอบกลับ
cn flag
shearn89
การอัปเดตหลังจากข้อเท็จจริงไม่ได้มีประโยชน์มากนัก - ใครก็ตามที่บุกรุกเซิร์ฟเวอร์ของคุณอาจยังคงเข้าถึงได้ และการอัปเดตระบบจะไม่ลบมัลแวร์ที่ติดตั้งไว้
0
ตอบกลับ
merlin avatar
in flag
merlin
ตกลงเข้าใจแล้ว. เฉพาะผู้ใช้ www เท่านั้นที่ได้รับผลกระทบ การลบผู้ใช้และไฟล์ทั้งหมดจะมีประโยชน์หรือไม่ จากความเข้าใจของฉันหากไม่มีสิทธิ์เข้าถึงรูท www ผู้ใช้ที่ไม่ได้รับสิทธิพิเศษจะไม่สามารถแตะต้องส่วนอื่น ๆ ของระบบได้
0
ตอบกลับ
cn flag
shearn89
"หากไม่มีการเข้าถึงรูท ผู้ใช้ที่ไม่มีสิทธิพิเศษ www จะไม่สามารถแตะต้องส่วนอื่นๆ ของระบบได้" - สิ่งนี้ถือว่าพวกเขาไม่ได้ใช้ประโยชน์จากเซิร์ฟเวอร์ในขณะที่ใช้เวลากว่า 6 เดือนในการแพตช์... คุณจะจัดการกับสิ่งนี้อย่างไรขึ้นอยู่กับการยอมรับความเสี่ยงของคุณ ฉันจะลบเซิร์ฟเวอร์และจัดสรรใหม่
0
ตอบกลับ
merlin avatar
in flag
merlin
ไม่มีเซิร์ฟเวอร์อยู่หลังแพตช์สูงสุด 4 สัปดาห์
0
ตอบกลับ
cn flag
shearn89
"ปลั๊กอินมีการอัปเดตช้ากว่า 6 เดือน"
0
ตอบกลับ
merlin avatar
in flag
merlin
ปลั๊กอิน Word Press ไม่ใช่ Linux
0
ตอบกลับ
Score:0
Cody Chang avatar Server
ธง us
Cody Chang

ฉันได้พบมัลแวร์เดียวกัน

คุณสามารถลองตรวจสอบงาน cronjob ทั้งหมดว่าน่าสงสัยหรือไม่

  • ตรวจสอบรายการงาน cron กับผู้ใช้ทั้งหมด
สำหรับผู้ใช้ใน $(cut -f1 -d: /etc/passwd); ทำ echo $user; crontab -u $user -l; เสร็จแล้ว

ฉันพบมัลแวร์ด้วยคำสั่งด้านบน คุณควรลบออก

www
11 * * * * /home/www/.config/cron/perfcc
0 + 0
John Greene avatar
cn flag
John Greene
และตรวจสอบ `/etc/rc.local` เพื่อดูการเปลี่ยนแปลงที่อาจพยายามทำให้มัลแวร์ยังคงอยู่หลังจากรีบูต
0
ตอบกลับ
ธงชาติไทย
Kulap
คำถามนี้เป็นภาษาอื่นๆ:

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา