[ช่วยด้วย] เช่า VPS แล้วเจอยิงนะคับ process เกือบ 100% ช่วยดูให้หนอ่ยคับ (มีรูป)

deksao · December 5, 2009, 9:33am

หวัดดีคับ คือมีเวบนึงกิน process มากเกือบ 100% ตลอด เข้าไปดูใน shell ก็เลยรู้ว่าเป็นเว็บอะไร
ผมใช้คำสั่ง top ตรง user

cheerhosting.com · December 5, 2009, 9:42am

VPS นำมาใช้งานไรครับ

deksao · December 5, 2009, 11:17am

ใช้งานเว็บนี้แหละคับ มีเว็บอยู่ 20 เว็บ แต่มีเวบนึงมีปัญหาคิดว่าเป็น wordpress mu นะคับ มีคนมาสแปม user ผมก็คิดว่าแค่ spam user

smartnet.co.th · December 5, 2009, 11:24am

ให้ admin ตรวจสอบอย่างละเอียดดีกว่าครับ เพราะ perl ปกติปัจจุบันไม่ค่อยใช้กันแล้ว… ที่เห็นๆก็พวกโปรแกรม spam ที่ใช้
โดยส่วนใหญ่… หากมี process ผิดปกติแบบนี้ แนะนำให้แจ้งไปยังผู้ให้บริการทราบโดยด่วน

ผมมีความมั่นใจว่า…ผู้ให้บริการไม่นิ่งนอนใจหรอกครับ หากมี process ไม่พึงประสงค์ทำงานในเครื่อง vps ตนเอง…
เพราะมันทำให้สูญเสียทางเขาโดยตรงอยู่แล้วครับ

HostingIDC.Com · December 5, 2009, 11:34am

top -c

ดูชื่อไฟล์ แล้วก็

cat /var/log/proftpd/* | grep “.pl”

หาต่ำแหน่ง หรือ user ที่โดน แล้วก็เปลี่ยนพาส ftp

แล้วก็ไปแก้ function_disable ใน php.ini

ครับ

SiamLiveHost.com · December 5, 2009, 11:46am

สงสัยจะโดนฝั่ง perl script มาพร้อมกับตอนที่ลูกค้าโดน iframe เล่นงาน

cheerhosting.com · December 5, 2009, 11:51am

ให้ admin ตรวจสอบอย่างละเอียดดีกว่าครับ เพราะ perl ปกติปัจจุบันไม่ค่อยใช้กันแล้ว… ที่เห็นๆก็พวกโปรแกรม spam ที่ใช้
โดยส่วนใหญ่… หากมี process ผิดปกติแบบนี้ แนะนำให้แจ้งไปยังผู้ให้บริการทราบโดยด่วน

ผมมีความมั่นใจว่า…ผู้ให้บริการไม่นิ่งนอนใจหรอกครับ หากมี process ไม่พึงประสงค์ทำงานในเครื่อง vps ตนเอง…
เพราะมันทำให้สูญเสียทางเขาโดยตรงอยู่แล้วครับ

:smash: :smash: :smash:

deksao · December 5, 2009, 12:02pm

ขอบคุณคับพี่ๆ

ขอบคุณพี่เท็คด้วยคับ ผมลองทำตามแล้วได้ตามรูปครับ

ไฟล์ที่มีปัยหาคือ

gkungz · December 5, 2009, 12:51pm

โดนแอบใช้เครื่องส่ง spam แล้วล่ะครับตรงนี้ตั้ง pass root ไว้ง่ายต่อการสุ่มรึป่าวครับ ? ผมเคยเจอ ทำเอา VPS หลัก ping ไม่ติดเป็นระยะๆ เลยย โหดมากมาย ^^

pizzaman911 · December 5, 2009, 1:24pm

การเอาออกนั้นไม่ยากครับ ดูจากด้านบนจะเห็นที่อยู่ของ script หรือไม่ก็ lsof -p <pid> ก็จะรู้มากขึ้น

แต่ที่ยากกว่าคือหาทางที่มันเข้ามาแล้วอุด ต้องอาศัยควาชำนาญนิดนึงนะครับ

Pantiphost.com · December 5, 2009, 2:01pm

ลองดูใน tmp หรือยัง spam แหงม ๆ เลย
secure tmp ไว้หรือเปล่าครับ

deksao · December 5, 2009, 2:40pm

คือผมไม่เ่ก่งเลยคับ มีใครอาสารบกวนแก้ให้ผมได้ไหมคับ รู้สึกติดต่อทาง server เค้าไม่่ค่อยว่างอะคับไม่รู้จะดูให้ได้เมื่อไร

kke · December 5, 2009, 11:27pm

แบบง่ายๆก็ reboot vps รอบนึง
หรือไม่ก็ ไล่ kill process ของ user 528 ให้หมด
ที่เห็นคิอไฟล์วางอยู่ใน /tmp ลบไฟล์ใน /tmp ออกซะ
น่าจะมาจากช่องโหว่หน้าเว็บ ไม่ก็ trijan ftp แต่ลบ user ไปแล้วก็ไม่น่าจะมาอีก

ThaiTumweb · December 5, 2009, 11:34pm

ถ้าเจอ Perl รัน เกือบ 100% นี่เตรียม kill ทิ้งได้เลยส่วนใหญ่แล้วมันไม่ธรรมดาแน่นอน แต่ก่อน kill แนะนำว่า lsof -p [pid] ดูก่อนว่าไฟล์อยู่ไหนจะได้ลบได้ แล้วก็หาช่องโหว่ให้เจอ

deksao · December 6, 2009, 1:33am

แก้ไขได้แล้วนะคับ น้องเท็ค hostingidc แก้ไขให้คับ ขอบคุณมากๆครับ ใครใช้บริการ hosting ไปหาน้องคนนี้ได้เลยคับ แนะนำเป็นกันเอง

HostingIDC.Com · December 6, 2009, 1:35am

user 528 หาไม่เจอ

ftp log ไม่มี

php.ini ใส่ไปก่อนหน้านั้นแล้ว

เหมือนโดนมาจาก user แล้วรันจาก user เต็มๆเลย

สรุป secure tmp ให้เจ้าของเครื่องทำดีกว่า

lol