Процесс грузит процессор под 100%, как избавиться?

Question

[Антон Парфенов]

Ребят, есть сервак VPS с Centos 6.7 так вот появился такой трабл, раз по 5 на день появляется процесс от пользователя (ispmanager на котором сайты висят) процесс грузит файл usr/bin/host. Их таких по данным htop штук 10-20, но самый верхний грузит оба ядра по 100% от чего и сайты падают.
Мне кажется что кто юзает сервак для своих целей для ddos например, что можно сделать, сталкивался кто-нибудь?

UPD: скрин https://yadi.sk/i/1IIJxP6hoCUet

Comments

[Юрий Чудновский]

Ещё посмотрите на сетевые соединения во время проблемы (netstat -ptna)

Answer 1

[Anton Chernousov]

Тут честно говоря так наскоком ничего не скажешь и надо детально смотреть на месте, но можно посмотреть, что этот процесс вообще делает подключившись к нему с помощью strace.

# strace -p xxxxxx -s 80 -o /tmp/debug.txt

-p - это pid процесса.

В файле будет вагон информации проанализировав которую можно понять, что там происходит.

Answer 2

[Влад Животнев]

usr/bin/host - вполне себе известная вирусня, она то ли спам шлет, то ли ssh брутит, не помню навскидку.

ls -la /proc/$pid/fd , потом убивайте процесс и лечите свои поломанные сайты. Ну и проверьте, что proftpd не дырявый, сразу.

Comments

[Антон Парфенов]

А что искать в сайтах, может подскажете? Искал файлы *.sh нет таких

[Влад Животнев]

Антон Парфенов: всё искать, что не относится к файлам сайта.

Какой-нибудь base64 encode/decode с exec внутри.

[Антон Парфенов]

Влад Животнев: grep думаю подойдёт со словом exec?

[Влад Животнев]

Антон Парфенов: не подойдет.

[Антон Парфенов]

Влад Животнев: есть идеи?)

[Влад Животнев]

Антон Парфенов: сносить систему, заливать все сайты из чистых дистрибутивов, запрещать писать сайтам в свои докруты, запрещать выполнение php в upload-каталогах.

[Антон Парфенов]

Влад Животнев: хм, а смена ip помогла бы? или этот скрипт стартует сам, а не его запускают? кстати вчера его убил через kill, пока что спит, раньше делал ребут просто он просыпался через часов 5 после ребута