@kavabangaungava

Что за процесс top, котовый потребляет весь CPU?

На Centos 7.8 в виртуальной машине вертится один сайт bitrix.
У сервера, очень неплохие тех характеристики. ОЗУ 64 GB, CPU i7, ssd 256

Пользователь bitrix отъедает весь CPU процессом ./top

2949 bitrix    20   0 2472972   2.3g      8 S 400.0  3.7   6861:50 top


сам процесс
ps -ef | grep 2949
bitrix    2949     1 99 Jul26 ?        4-18:25:02 ./top

Подскажите, кто сталкивался с такой ситуацией?
62e10e6ba2d4a125329098.png

Если посмотреть на пид, через lsof, то катина такая

lsof -p 2949
COMMAND  PID   USER   FD      TYPE DEVICE SIZE/OFF     NODE NAME
top     2949 bitrix  cwd       DIR  253,0     4096        2 /
top     2949 bitrix  rtd       DIR  253,0     4096        2 /
top     2949 bitrix  txt       REG  253,0  2757388  5242952 /tmp/xtmp/top (deleted)
top     2949 bitrix  mem       REG  253,0     1518 12322320 /usr/share/zoneinfo/Europe/Moscow
top     2949 bitrix    0r     FIFO    0,9      0t0    33865 pipe
top     2949 bitrix    1w     FIFO    0,9      0t0    33866 pipe
top     2949 bitrix    2w     FIFO    0,9      0t0    33866 pipe
top     2949 bitrix    3u  a_inode   0,10        0     6451 [eventpoll]
top     2949 bitrix    4r     FIFO    0,9      0t0    29139 pipe
top     2949 bitrix    5w     FIFO    0,9      0t0    29139 pipe
top     2949 bitrix    6r     FIFO    0,9      0t0    28557 pipe
top     2949 bitrix    7w     FIFO    0,9      0t0    28557 pipe
top     2949 bitrix    8u  a_inode   0,10        0     6451 [eventfd]
top     2949 bitrix    9w      REG  253,0  1660426  4849870 /tmp/.systemd.log
top     2949 bitrix   10u  a_inode   0,10        0     6451 [eventfd]
top     2949 bitrix   11u  a_inode   0,10        0     6451 [eventfd]
top     2949 bitrix   12r      CHR    1,3      0t0     1028 /dev/null
top     2949 bitrix   13r  a_inode   0,10        0     6451 inotify
top     2949 bitrix   14u     IPv4  37510      0t0      TCP mydomain.com:35476->rdns3.gob-notificaciones.com:http (ESTABLISHED)
  • Вопрос задан
  • 1833 просмотра
Решения вопроса 1
martin74ua
@martin74ua Куратор тега Linux
Linux administrator
троян
ищите откуда пришел, отстреливайте, готовьтесь переставлять сервер.
Но не забудьте пофиксить дыры, через которые он пролез.
Ответ написан
Пригласить эксперта
Ответы на вопрос 4
SeryiBaran6
@SeryiBaran6
Frontend-разработчик.
Судя по всему майнер, замаскированный под утилиту top
Ответ написан
Комментировать
fStrange
@fStrange
Майнер судя по нагрузке подсадили.
Скорее всего все та же уязвимость в модуле vote.
Ее по разному эксплуатируют. Чаще всего js на фродсайты вешают, но изредка и майнеры.
Ответ написан
Комментировать
dygger1
@dygger1
Пишу заклинания в терминал
Для любителей не обновлять движок, использую скрипт:
mainer_killer.sh

#!/bin/bash
#
# mainer_killer.sh
# This script finds and kills the process named ./top and makes it impossible to start
#
let mainerid=$(ps aux | grep ./top | grep bitrix |awk '{print $2}')
kill $mainerid && mkdir  /tmp/xtmp && mkdir /tmp/xtmp/top && chown root:root /tmp/xtmp && chown root:root /tmp/xtmp/top && chmod 750 /tmp/xtmp && chmod 750 /tmp/xtmp/top
Ответ написан
Комментировать
@mletov
А если сайт остановить, то нагрузка упадет или нет?

Если упадет, то, возможно, дыра в версии Битрикса.
Тогда имеет смысл накатить обновление на Битрикс до последней версии и пройтись каким-нибудь антивирем типа айболита. И заодно нагрузку сайта посмотреть, может DDOS какой-нибудь на него идет или просто посетителей много. Может SQL запросы попрофилировать.

Если не упадет, то да, скорее проблема в области системного администрирования, чем веб-программирования.
Здесь спецы по Linux лучше подскажут.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы