Server load -
6 naročnikov
6 naročnikov
top - 13:35:53 up 28 days, 15:41, 1 user, load average: 16.54, 18.26, 17.60
Torej prva stevilka kdaj tud do 30 pride ... zdj me pa skrbi ker mislem da je to velik prevec kot bi blo treba. Server je quad core 2.4Ghz z 8gb rama.
Na serverju je ene par vps'jev in ko gledam statistiko porabe cpuja v hypervm mi kaze da je max 5Ghz procesorja v uporabi.
Torej mi lahko kdo mal blj podrobno tole razlozi, hvala.
25 odgovorov
jack12344:
OvcaX glede modifacije te scripte je kje ksn guide ?Hvala.
Nevem kje imaš ti. Preglej konfiguracijo apacha
Hvala ta problem smo zrihtal, no naslednja stvar bom pa tud kr tle uprasu da ne bom novga topica odpiral ... torej nekdo iz vpsja uporablja pscan2 kateri prav tako uporablja veliko cpuja ... ker se sam ne spoznam najbol na linuxovo konzolo nevem kako bi ga blocku oziroma odkril iz katerega vpsja laufa ta program.
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
21301 1011 25 0 1576 496 412 R 23 0.0 0:45.26 pscan2
user id: 1011, kako blockam tega userja oziroma njegov vps.
Use procese od tega userja ugasnem z: pkill -u 1011, ne znam pa ga dokoncno blokirat :P
Ze v naprej hvala za odgovore.
procese imaš v /proc/ od tam ga lahko trejsaš kje ima program itd... :) skratka, po vsej možnosti pa ti je nekdo vdrl v sistem in sedaj naprej poizkuša hekati iz sistema. točno to kar sem že govoril nekaj časa nazaj... ko se v te vode spuščajo tisti ki nimajo izkušenj...
sej mas prov, marketing mi gre super ... mam ze ogromno strank in usega edini problem je ker pac nimam dost iskusenj. Sm vse skup sigurno ze prek 1000$ zapravu za razne sistem administratorje, da so mi pomagal odpravit taksne in drugacne napake ... in pocas se ucim iz tega.
Sicer da bi mi kdo sistem pohackal kr tesko vrjamem, sm placu eni firmi da mi je zavarovala server + root password imam popolnoma onemogocen ( samo ssh keye upoarbljam. )
Pa se povezave v server redno gledam. ipje + logine
http://ubuntuforums.org/archive/index.php/t-253373.html (prvi zadetek na pscan2)
... pa sej je jasno da se pscan/rpc ipd scannerji uporabljajo izključno za to da ko najdejo odprt port na ipju, zaženejo neko komando... to je to. Ta "komanda" je pa ponavadi exploit.
Pa sej ne mi verjet če nočeš. Js sam povem iz izkušenj. In to da malo buliš v loge ni nič... poleg tega se vdori ne dogajajo preko SSHja, sploh pa rabiš ssh met na drugem portu... tudi firma nevem kaj ti je zrihtala... točnejši podatki bi bili na mestu.
torej odkar sm kill -9 use procese od tega 1011 se ne pojavlja vec. poleg tega sm zamenju port na 1.xxx ter popolnoma onemogocu povezovanje na root z passwordom. ( to sm naredu potem, ko sm ze ustavu to, vsaj upam :P )
No edina stvar, ki me skrdi je, da mu je ratal nekako ze pridit v system(sicer sm 90%, da ne) ampak se mi zdi dost logicno to kar je bl4ckb1rd povedu.
Torej kako njlazje ugotovim ? Usake par minutk enostavno napisem "w" da vidim ce sm se zmeraj edini online user v sistemu...
Tole je pa verzija mojga kernela: 2.6.18-53.1.6.el5.028stab053.6
Pa hvala usem za pomoc, sploh bl4ckb1rd.
Zadnji exploit za kernel (public) je: http://www.milw0rm.com/exploits/5093 ... lahko sam probaš... Drugače moraš pa najti mapo od kjer se je to dogajalo, po možnosti tudi userja ki je to počel, dobiti vse njegove komande ki jih je izvedel, ker načeloma je težko karkoli doreči, če je bil sistem kompromitiran. Če je rootkit gor, ne boš niti vedu da je, ker bodo binaryi spremenjeni: ls, ps, netstat, top itd... Skratka da samo killaš nisi rešil ničesar. Mogoče še najslabše da si killal, ker je potem težje najti mapo in userja... Torej, ko si našel kaj je počel, potem se zatopiš v gore log fajlov od apacheja, mod securitya, suhosina, snorta itd. in probaš najt luknjo preko katere je notr prišel... da jo boš zakrpal... čene ni nič. Naslednji turek/rus ki bo imel 5 minut časa bo naložu novo kozlarijo na sistem.