LINUX.ORG.RU
решено ФорумAdmin

Высокая загрузка CPU коммандой /usr/bin/php-cgi. Высокий исходящий трафик. Возможно DDOS.

 , , ,


0

1

Загрузка CPU - постоянно под 100%.

Куча процессов параллельно - /usr/bin/php-cgi

iftop показывает трафик около 100 кб исходящий на несколько хостов.

Как определить, что за дрянь шлет делает это?

Начать с понимания того, кто именно что-то запустил. Сайт на сервере один, или несколько ? Если несколько, под разными пользователями, или под одним ? Посмотреть подозрительное в логах. Проверить версии CMS, если таковые используются, посмотреть выпущенные обновления и списки изменений.

AS ★★★★★
()
Ответ на: комментарий от snaf

В логах происходит это:


91.96.249.80 - - [04/Dec/2016:03:14:36 +0100] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.80 - - [04/Dec/2016:03:14:36 +0100] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.80 - - [04/Dec/2016:03:14:36 +0100] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.80 - - [04/Dec/2016:03:14:38 +0100] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.80 - - [04/Dec/2016:03:14:37 +0100] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"
191.96.249.80 - - [04/Dec/2016:03:14:37 +0100] "POST /xmlrpc.php HTTP/1.0" 200 370 "-" "Mozilla/4.0 (compatible: MSIE 7.0; Windows NT 6.0)"

Добавил его в Drop через webmin.

-bash-4.1# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ftp-data
ACCEPT     udp  --  anywhere             anywhere            udp dpt:ftp
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:dnp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:emcrmird
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:emcrmirccd
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:documentum_s
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:documentum
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:scp-config
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ndmp
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:EtherNet/IP-1
DROP       all  --  196-178-172-163.rev.cloud.scaleway.com  anywhere
DROP       all  --  191.96.249.80        anywhere
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:https
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imaps
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:imap
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3s
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:pop3
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:ftp-data

Но чета в access логах вебсервера вижу всеравно обращения хоста 191.96.249.80.

dopedopedope
() автор топика
Ответ на: комментарий от dopedopedope

POST /xmlrpc.php

Ну и гугли теперь. WordPress ? Про него гуглится на эту тему.

Вообще RPC - Remote Procedure Call. Правда не в курсе, это ли имели ввиду разработчики WordPress.

AS ★★★★★
()
Последнее исправление: AS (всего исправлений: 1)
Ответ на: комментарий от dopedopedope

Вопрос решен блокировкой хостов

Я бы ещё доступ к этому xmlrpc.php закрыл, наверное. Он там только локалхосту нужен обычно, судя по всему.

AS ★★★★★
()
Ответ на: комментарий от snaf

Apache, да. Добавил это в .htaccess:

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

В логах вижу запросы продолжают молотить на этот адрес, зато нагрузка на сервер упала.

dopedopedope
() автор топика

cgi рискованно использовать вообще-то

anonymous
()
Ответ на: комментарий от snaf

Не скажу, доступа в админку нет. А сайт выпилен из wp, все про вордпресс убрали или запрятали.

dopedopedope
() автор топика
Последнее исправление: dopedopedope (всего исправлений: 1)
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.