Форум русскоязычного сообщества Ubuntu


Считаете, что Ubuntu недостаточно дружелюбна к новичкам?
Помогите создать новое Руководство для новичков!

Автор Тема: Странная активность на сервере. Прошу помощи!  (Прочитано 4217 раз)

0 Пользователей и 1 Гость просматривают эту тему.

Оффлайн 20strannik08

  • Автор темы
  • Новичок
  • *
  • Сообщений: 15
    • Просмотр профиля
Здравствуйте! Имеется vps xen 512ram, 2400 проц, 8GB жесткий. Установлена Apache2, nginx, mysql, fail2ban, xcache, zram. Nginx выступает фронтендом. Долгое время изучая, я настроил свой vps так что бы он работал без нареканий и смог при текущих параметрах выдерживать некоторые нагрузки (более 50 одновременных посещений), в качестве сайта установлена Jooma 3.x.

 И все хорошо было до недавнего времени - когда процессор стал грузится под 100%. Утилита htop показала странные процессы apache:
Если обычные процессы отображались как www-data - (Command) /usr/sbin/apache2 -k start, то появились откудавто еще четыре процесса которые и грузят в основном процессор на полную катушку:
www-data - (command) ./compiz a- scrypt -o stratum+tcp://doge.coinbox.ru:335 -u Denis.denis -p 1234z1234z

Если сделать полный перезапуск всех служб, то процессы пропадают на часа 3-4, и снова вылазиют но на этот раз уже с другим адресом сайта в процессе. Залазил на эти сайты ничего не понял, какойто маининг, пулы, но во всех случаях морда сайта одна, и тематика то же одна и та же. Что это? Взлом vps? Что делать как быть?

Оффлайн Dfg

  • Активист
  • *
  • Сообщений: 323
    • Просмотр профиля
Хакнули и подключили в майнинг пул (litecoin скорее всего)
Делают криптобабосы на тебе.

Оффлайн 20strannik08

  • Автор темы
  • Новичок
  • *
  • Сообщений: 15
    • Просмотр профиля
Теперь то как быть, и как избавляться от этого? Может подскажите чего?)

Оффлайн Dfg

  • Активист
  • *
  • Сообщений: 323
    • Просмотр профиля
"Раньше надо было думать шура". :)
Поставил и забыл конечно любимый принцип админа, а обновятся кто будет? А контроль целостности проводить?

Ищи где в системе закрепились: левые файлы с непонятным названием, ищи по датам обновления, шерсти крон, смотри логи на предмет левых подключений. Если есть бакап, восстанавливайся с него.
Меняй на все пароли.
Инструкций в инете много.
http://www.opennet.ru/tips/info/2631.shtml


Оффлайн 20strannik08

  • Автор темы
  • Новичок
  • *
  • Сообщений: 15
    • Просмотр профиля
Обновления вовремя делал) Спасибо за ссылку) Пойду изучать.

Оффлайн victor00000

  • Старожил
  • *
  • Сообщений: 15568
  • Глухонемой (Deaf)
    • Просмотр профиля
20strannik08,
Jooma 3.x дай сылку?
Могу установка скрипт как setup, пример phpmyadmin и mysql.
http://paste.ubuntu.com/7750339/
добавить Jooma 3.x в скрипт, чобы хорошую скачать Jooma 3.x gz.tar.
:)
Wars ~.o

Оффлайн 20strannik08

  • Автор темы
  • Новичок
  • *
  • Сообщений: 15
    • Просмотр профиля
Последнее сообщение очень странное, похоже на бота)

Оффлайн victor00000

  • Старожил
  • *
  • Сообщений: 15568
  • Глухонемой (Deaf)
    • Просмотр профиля
ну не хочешь, подарил скриапт. ))
Wars ~.o

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Судя по тому, что левые процессы работают под www-data, рут не сломан.
Если аккуратно всё закрыть/исправить/почистить, то можно обойтись без реинсталла.

Оффлайн 20strannik08

  • Автор темы
  • Новичок
  • *
  • Сообщений: 15
    • Просмотр профиля
Переставлять Я в любом случае буду от греха подальше. Просто интересно докопаться до истины, где брежь
Я могу конфиги настроек скинуть если поможете)
« Последнее редактирование: 05 Июля 2014, 14:38:22 от 20strannik08 »

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Видимо, косяк в каком-то из сервисов, работающих под www-data:
ps aux | grep www-data
Либо хакнут один из юзеров, входящих в группу www-data:
grep www-data /etc/group

Оффлайн 20strannik08

  • Автор темы
  • Новичок
  • *
  • Сообщений: 15
    • Просмотр профиля
xtyaswxudu0h3@6n6ss2idnqx:~$ ps aux | grep www-data

www-data   699  0.0  0.3  12124  1644 ?        S    22:21   0:00 nginx: worker process
www-data  1652  0.0  0.9 177888  5024 ?        S    22:24   0:00 /usr/sbin/apache2 -k start
1000      2548  0.0  0.1   4420   824 pts/1    S+   22:46   0:00 grep --color=auto www-data

xtyaswxudu0h3@6n6ss2idnqx:~$ grep www-data /etc/group

www-data:x:33:

Пользователь решил продолжить мысль 06 Июля 2014, 19:50:57:
Вход на сервер произвожу через парольную аутентификацию по ssh, порт по дефолту сменен на другой, рут вход отключен, доступ разрешен только для одного указанного пользователя имеющего sudo привелегии.

Пользователь решил продолжить мысль 06 Июля 2014, 19:52:20:
Смотрел при помощи утилит измененные файлы - модифицированы только те которые я сам вручную правил, вроде бы все впорядке, ей богу ума не приложу в чем проблема может быть. Может сам движок сайта как то хакнут...
« Последнее редактирование: 06 Июля 2014, 19:52:20 от 20strannik08 »

Оффлайн victor00000

  • Старожил
  • *
  • Сообщений: 15568
  • Глухонемой (Deaf)
    • Просмотр профиля
Цитировать
рут вход отключен
надо включен? могу 1 сек.
Wars ~.o

Оффлайн ArcFi

  • Старожил
  • *
  • Сообщений: 15189
    • Просмотр профиля
    • aetera.net
Получается, проблема в некорректной настройке или уязвимости одного из этих сервисов: nginx, apache.
Ставить надо с официального репа и периодически мониторить и применять обновления безопасности.

Кроме того, для применения обновлений может требоваться рестарт сервиса или ребут компа.
Далеко не все об этом в курсе.

Может сам движок сайта как то хакнут...
Обновления безопасности касаются и движка, поэтому вполне вероятно.

Оффлайн 20strannik08

  • Автор темы
  • Новичок
  • *
  • Сообщений: 15
    • Просмотр профиля
В том то и дело что все устанавливалось с офф репов(Ubuntu 12.04 LTS). Но да тут вы правы, все дело в некорректной работе чего-либо, как правило я тут сам виноват)
« Последнее редактирование: 06 Июля 2014, 21:05:16 от 20strannik08 »

 

Страница сгенерирована за 0.048 секунд. Запросов: 25.