Рейтинг:1

100% загрузка процессора из-за службы "perfctl"

флаг in

Я использую выделенный высокопроизводительный сервер AMD с Ubuntu 20.04. с нескольких месяцев.

Внезапно сегодня ночью процессор выстрелил до 100%, пока я не убил службу «perfctl», появившуюся в 2 часа ночи.

Я использую Apparmor:

модуль apparmor загружен.
Загружено 8 профилей.
8 профилей находятся в принудительном режиме.
   /usr/lib/NetworkManager/nm-dhcp-client.action
   /usr/lib/NetworkManager/nm-dhcp-помощник
   /usr/lib/connman/скрипты/dhclient-скрипт
   /usr/sbin/mysqld
   /{,usr/}sbin/dhclient
   lsb_release
   nvidia_modprobe
   nvidia_modprobe//кмод
0 профилей находятся в режиме жалоб.
1 процессы имеют определенные профили.
1 процессы находятся в принудительном режиме.
   /usr/sbin/mysqld (1124) 
0 процессов находятся в режиме жалоб.
0 процессы не ограничены, но имеют определенный профиль.

С чем это могло быть связано и как предотвратить это в будущем?

загрузка процессора

службы работаютпосле убийства службы

Рейтинг:1
флаг cn

Тот факт, что пользователь www немного подозрительно. Вы используете AppArmor? Вы используете общедоступный веб-сервис?

Мне кажется, что ваш сервер скомпрометирован, и кто-то воспользовался www пользователь для запуска двоичного файла, который они вызвали идеально чтобы скрыть свою личность.

Вы можете прочитать Что делать со взломанным сервером?

merlin avatar
флаг in
Это не звучит хорошо.После убийства сервиса он вернулся через несколько часов, два раза. То же имя процесса. Я обновил Word-Press и все его плагины, а также саму систему (ubuntu 20.04.4). Пользователь www запускает apache только со страницей wordpress. Плагины отстают примерно на 6 месяцев с обновлениями, а сервер - на 4 недели. Я проверил входы в систему с этим пользователем, нет. Однако для него не была установлена ​​опция «nologin», что я сейчас и сделал, плюс установил для него pw. Я все же надеюсь, что этого достаточно, настройка сервера - задача на несколько дней. Я запускаю apparmor. Любые другие идеи?
флаг cn
Обновление постфактум бесполезно — тот, кто скомпрометировал ваш сервер, вероятно, все еще имеет доступ, а обновление системы не удалит установленное вредоносное ПО.
merlin avatar
флаг in
Хорошо понял. Однако затрагивается только пользователь www. Будет ли полезно удалить пользователя и все его файлы? Насколько я понимаю, без root-доступа непривилегированный пользователь www не может касаться других частей системы.
флаг cn
«без root-доступа непривилегированный пользователь www не может касаться других частей системы». - это предполагает, что они не использовали сервер в течение 6 месяцев после исправлений... Как вы справляетесь с этим, зависит от вашей терпимости к риску. Я бы удалил сервер и перенастроил.
merlin avatar
флаг in
нет, сервер отставал от исправлений максимум на 4 недели.
флаг cn
«Плагины отстают с обновлениями примерно на 6 месяцев»
merlin avatar
флаг in
Плагины для Word Press, а не для Linux
Рейтинг:0
флаг us

Я столкнулся с той же вредоносной программой.

Вы можете попробовать проверить все задачи cronjob на предмет подозрительности.

  • проверьте список заданий cron со всеми пользователями
для пользователя в $(cut -f1 -d: /etc/passwd); сделать эхо $user; crontab -u $пользователь -l; сделано

Я обнаружил вредоносное ПО с помощью приведенной выше команды, поэтому вам следует удалить его.

www
11 * * * * /home/www/.config/cron/perfcc
John Greene avatar
флаг cn
И проверьте `/etc/rc.local` на предмет любых изменений, которые могут пытаться сохранить вредоносное ПО после перезагрузки.

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.