Регистрация Войти
Рейтинг:1
merlin avatar Server

100% загрузка процессора из-за службы "perfctl"

флаг in
merlin

Я использую выделенный высокопроизводительный сервер AMD с Ubuntu 20.04. с нескольких месяцев.

Внезапно сегодня ночью процессор выстрелил до 100%, пока я не убил службу «perfctl», появившуюся в 2 часа ночи.

Я использую Apparmor:

модуль apparmor загружен.
Загружено 8 профилей.
8 профилей находятся в принудительном режиме.
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-помощник
   /usr/lib/connman/скрипты/dhclient-скрипт
   /usr/sbin/mysqld
   /{,usr/}sbin/dhclient
   lsb_release
   nvidia_modprobe
   nvidia_modprobe//кмод
0 профилей находятся в режиме жалоб.
1 процессы имеют определенные профили.
1 процессы находятся в принудительном режиме.
   /usr/sbin/mysqld (1124) 
0 процессов находятся в режиме жалоб.
0 процессы не ограничены, но имеют определенный профиль.

С чем это могло быть связано и как предотвратить это в будущем?

загрузка процессора

службы работаютпосле убийства службы

231
0 + 0
Рейтинг:1
avatar Server
флаг cn
shearn89

Тот факт, что пользователь www немного подозрительно. Вы используете AppArmor? Вы используете общедоступный веб-сервис?

Мне кажется, что ваш сервер скомпрометирован, и кто-то воспользовался www пользователь для запуска двоичного файла, который они вызвали идеально чтобы скрыть свою личность.

Вы можете прочитать Что делать со взломанным сервером?

0 + 0
merlin avatar
флаг in
merlin
Это не звучит хорошо.После убийства сервиса он вернулся через несколько часов, два раза. То же имя процесса. Я обновил Word-Press и все его плагины, а также саму систему (ubuntu 20.04.4). Пользователь www запускает apache только со страницей wordpress. Плагины отстают примерно на 6 месяцев с обновлениями, а сервер - на 4 недели. Я проверил входы в систему с этим пользователем, нет. Однако для него не была установлена ​​опция «nologin», что я сейчас и сделал, плюс установил для него pw. Я все же надеюсь, что этого достаточно, настройка сервера - задача на несколько дней. Я запускаю apparmor. Любые другие идеи?
0
Ответить
флаг cn
shearn89
Обновление постфактум бесполезно — тот, кто скомпрометировал ваш сервер, вероятно, все еще имеет доступ, а обновление системы не удалит установленное вредоносное ПО.
0
Ответить
merlin avatar
флаг in
merlin
Хорошо понял. Однако затрагивается только пользователь www. Будет ли полезно удалить пользователя и все его файлы? Насколько я понимаю, без root-доступа непривилегированный пользователь www не может касаться других частей системы.
0
Ответить
флаг cn
shearn89
«без root-доступа непривилегированный пользователь www не может касаться других частей системы». - это предполагает, что они не использовали сервер в течение 6 месяцев после исправлений... Как вы справляетесь с этим, зависит от вашей терпимости к риску. Я бы удалил сервер и перенастроил.
0
Ответить
merlin avatar
флаг in
merlin
нет, сервер отставал от исправлений максимум на 4 недели.
0
Ответить
флаг cn
shearn89
«Плагины отстают с обновлениями примерно на 6 месяцев»
0
Ответить
merlin avatar
флаг in
merlin
Плагины для Word Press, а не для Linux
0
Ответить
Рейтинг:0
Cody Chang avatar Server
флаг us
Cody Chang

Я столкнулся с той же вредоносной программой.

Вы можете попробовать проверить все задачи cronjob на предмет подозрительности.

  • проверьте список заданий cron со всеми пользователями
для пользователя в $(cut -f1 -d: /etc/passwd); сделать эхо $user; crontab -u $пользователь -l; сделано

Я обнаружил вредоносное ПО с помощью приведенной выше команды, поэтому вам следует удалить его.

www
11 * * * * /home/www/.config/cron/perfcc
0 + 0
John Greene avatar
флаг cn
John Greene
И проверьте `/etc/rc.local` на предмет любых изменений, которые могут пытаться сохранить вредоносное ПО после перезагрузки.
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.