Điểm:1

Tải CPU 100% do dịch vụ "perfctl" gây ra

lá cờ in

Tôi đang chạy Máy chủ AMD hiệu suất cao chuyên dụng với Ubuntu 20.04. kể từ một vài tháng.

Đột nhiên đêm nay CPU tăng vọt lên 100% cho đến khi tôi tắt dịch vụ "perfctl" xuất hiện lúc 2 giờ sáng.

Tôi đang chạy Apparmor:

mô-đun apparmor được tải.
8 hồ sơ được tải.
8 hồ sơ đang ở chế độ thực thi.
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-helper
   /usr/lib/connman/scripts/dhclient-script
   /usr/sbin/mysqld
   /{,usr/}sbin/dhclient
   lsb_release
   nvidia_modprobe
   nvidia_modprobe//kmod
0 hồ sơ đang ở chế độ khiếu nại.
1 quy trình có hồ sơ được xác định.
1 quy trình đang ở chế độ thực thi.
   /usr/sbin/mysqld (1124) 
0 quy trình đang ở chế độ khiếu nại.
0 quy trình không bị giới hạn nhưng có một hồ sơ được xác định.

Điều gì có thể đã gây ra điều này và làm thế nào điều này có thể được ngăn chặn trong tương lai?

tải CPU

dịch vụ đang chạysau khi giết dịch vụ

Điểm:1
lá cờ cn

Thực tế là người dùng www là một chút nghi ngờ. Bạn có đang chạy AppArmor không? Bạn có đang chạy một dịch vụ web được hiển thị công khai không?

Điều này đối với tôi giống như máy chủ của bạn bị xâm phạm và ai đó đã sử dụng www người dùng chạy tệp nhị phân mà họ đã gọi hoàn hảo để che giấu danh tính của nó.

bạn có thể muốn đọc Làm cách nào để đối phó với một máy chủ bị xâm nhập?

merlin avatar
lá cờ in
Điều đó không có vẻ tốt.Sau khi tắt dịch vụ, nó quay lại vài giờ sau, hai lần. Cùng tên của quá trình. Tôi đã cập nhật Word-Press và tất cả các Plugin của nó, cũng như chính Hệ thống (ubuntu 20.04.4). Người dùng www chỉ chạy apache với trang wordpress mà thôi. Các plugin đã chậm hơn khoảng 6 tháng với các bản cập nhật và máy chủ khoảng 4 tuần. Tôi đã kiểm tra thông tin đăng nhập với người dùng đó, không có. Tuy nhiên, tùy chọn "nologin" không được đặt cho nó, điều mà tôi đã làm bây giờ, cộng với việc đặt pw cho nó. Tôi vẫn hy vọng rằng điều này là đủ, việc thiết lập máy chủ là một công việc mất nhiều ngày. Tôi đang chạy apparmor. Bạn có ý tưởng nào khác không?
lá cờ cn
Cập nhật sau khi thực tế không được sử dụng nhiều - bất kỳ ai xâm phạm máy chủ của bạn vẫn có thể có quyền truy cập và việc cập nhật hệ thống sẽ không xóa bất kỳ phần mềm độc hại nào đã cài đặt.
merlin avatar
lá cờ in
Được rồi, đã hiểu. Hoever chỉ người dùng www bị ảnh hưởng. Nó sẽ được sử dụng để xóa người dùng và tất cả các tập tin của nó? Theo hiểu biết của tôi mà không có quyền truy cập root, người dùng không có đặc quyền www không thể chạm vào bất kỳ phần nào khác của hệ thống.
lá cờ cn
"không có quyền truy cập root, người dùng không có đặc quyền www không thể chạm vào bất kỳ phần nào khác của hệ thống." - điều này giả định rằng họ đã không khai thác máy chủ trong khi bản vá đã chậm hơn 6 tháng... Cách bạn giải quyết vấn đề này tùy thuộc vào khả năng chấp nhận rủi ro của bạn. Tôi sẽ xóa máy chủ và cấp phép lại.
merlin avatar
lá cờ in
không có máy chủ chậm hơn tối đa 4 tuần so với các bản vá lỗi.
lá cờ cn
"Plugin đã chậm khoảng 6 tháng với các bản cập nhật"
merlin avatar
lá cờ in
Plugin Word Press không phải Linux
Điểm:0
lá cờ us

Tôi đã gặp phải phần mềm độc hại tương tự.

Bạn có thể thử kiểm tra tất cả tác vụ cronjob xem có đáng ngờ hay không.

  • kiểm tra danh sách công việc định kỳ với tất cả người dùng
cho người dùng trong $(cut -f1 -d: /etc/passwd); thực hiện tiếng vang $user; crontab -u $user -l; xong

Tôi đã tìm thấy phần mềm độc hại với lệnh trên thì bạn nên xóa nó.

www
11 * * * * /home/www/.config/cron/perfcc
John Greene avatar
lá cờ cn
Và kiểm tra `/etc/rc.local` để biết bất kỳ thay đổi nào có thể đang cố giữ cho phần mềm độc hại tồn tại sau khi khởi động lại.

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.