1. ¡OFERTA! con cupón "DIRVPS": hosting por $0,01 y también VPS Linux y Windows por $0,01 el primer mes por Interserver ← publi
    Descartar aviso
Descartar aviso
Al usar este sitio web, aceptas que nosotros y nuestros socios podamos establecer cookies para fines tales como personalizar el contenido y la publicidad. Más información.

Comando SH usando la mayoría del CPU

Tema en 'Asuntos Técnicos' iniciado por Adsl5mb, 7 Mar 2008.

  1. Adsl5mb

    Adsl5mb Usuario activo

    Hola a Todos,

    Tengo el siguiente comando que lo veo en top casi siempre activo y que se consume todo el CPU haciendo altos loads

    Estos dos son:

    1948 nobody 25 0 920 36 32 R 23.0 0.0 30:17.72 sh
    1527 nobody 25 0 920 32 28 R 20.7 0.0 511:35.11 sh

    El server es un Centos con DirectAdmin, a que puede ser debido y que es de lo que se encarga sh?

    Muchas Gracias
     
    Adsl5mb, 7 Mar 2008
    #1
  2. Anunciante

    Anunciante

     
  3. WebTech

    WebTech Súper Moderador Miembro del Staff Moderador CH

    Es raro ver al usuario nobody corriendo el comando "sh", que es para ejecutar scripts Linux, nobody debería ejecutar solo procesos de Apache. Me suena a que te han explotado el server, tal vez no, pero tal vez sí, yo que tu mejor reviso bien la seguridad en el servidor por posibles intrusiones.

    Corre esto y pega el resultado:

    CODE, HTML o PHP Insertado:
    ps -aux | grep sh
ps -aux | grep perl -i
lsof | grep nobody
    Saludos,
     
    WebTech, 7 Mar 2008
    #2
  4. ideasmultiples

    ideasmultiples Usuario activo

    Parece que tienes un exploit en tu server, mata los procesos inmediatamente con:
    # kill -9 N° de proceso

    Pero antes usa el comando top, cuando este activo pulsa "c" con eso podrás ver el nombre del comando que se está utilizando con el sh

    Despues te toca averiaguar como y por donde te colocaron el exploit.
     
    ideasmultiples, 7 Mar 2008
    #3
  5. Adsl5mb

    Adsl5mb Usuario activo

    Si vuelvo a ver el comando ejecutado hare las pruebas de WebTech

    Como me recomiendan puse kill -9 y el número del proceso

    Con los resultados que he hecho siguiendo lo de ideasmultiples cuando el proceso estaba activo:

    1948 nobody 25 0 920 32 28 R 9.2 0.0 41:32.67 sh -c /bin/hostname
    1527 nobody 25 0 920 28 24 R 7.2 0.0 522:48.10 sh -c /bin/hostname

    Muchas Gracias a los dos.
     
    Adsl5mb, 7 Mar 2008
    #4
  6. WebTech

    WebTech Súper Moderador Miembro del Staff Moderador CH

    Contrata a algún SysAdmin o empresa que pueda investigar el problema y solucionarlo, tu servidor esta comprometido seguramente y con los conocimientos que creo tienes, no podrás hacerlo correctamente.

    Saludos,
     
    WebTech, 7 Mar 2008
    #5
  7. Adsl5mb

    Adsl5mb Usuario activo

    Es un servidor administrado pero el "administrador" dice que está normal y que lo analizaron en busca de rootkits y otras cosas y no hay nada.
     
    Adsl5mb, 7 Mar 2008
    #6
  8. WebTech

    WebTech Súper Moderador Miembro del Staff Moderador CH

    Que raro, si bien ahora mataste el proceso es sólo una solución parcial, si no lograron encontrar la fuente del fallo, estoy prácticmente seguro que ocurrirá otra vez.

    Saludos,
     
    WebTech, 8 Mar 2008
    #7
  9. IPSecureNetwork

    IPSecureNetwork Usuario activo

    MMmm no quiero ser aguafiestas pero....

    Se asemeja mucho a un Perlbot.

    analiza con cuidado tu outgoing para saber si estas teniendo mayor trafico de salida.


    Consejo .. utiliza modsecurity con las ultimas reglas para evitar incidentes RFI ( Remote File Include ), revisa tu /tmp buscando algun archivo .txt y elimina el mismo.


    Saludos.
     
    IPSecureNetwork, 10 Mar 2008
    #8
  10. monoswim

    monoswim Usuario activo

    Fijate que usuarios tienen acceso a tu servidor, cuales se pueden conectar por SSH, fijate todos los scripts que se ejecutan en tu servidor (.pl .php. .cgi .asp) para que ninguno esté haciendo cosas indebidas...

    Saludos
     
    monoswim, 10 Mar 2008
    #9
  11. IPSecureNetwork

    IPSecureNetwork Usuario activo

    Por lo que se puede observar el usuario que ejecuta el script es nobody... casualmente el usuario que normalmente utiliza apache como owner...

    si algun atacante utiliza vulnerabilidades RFI no es necesario que tenga acceso SSH para ejecutar scripts de este tipo.
     
    IPSecureNetwork, 10 Mar 2008
    #10
  12. Adsl5mb

    Adsl5mb Usuario activo

    Gracias a todos por las respuestas, por el momento no me ha molestado más ese comando, al igual que he visto en /tmp y no hay nada raro, el mod_security y el ClamAV esta instalado.
     
    Adsl5mb, 10 Mar 2008
    #11
  13. Adsl5mb

    Adsl5mb Usuario activo

    Me ha vuelto a suceder generalmente me aparece a la tarde, estos son los datos con los comandos de WebTech:

    ps -aux | grep sh
    nobody 4592 35.3 0.0 916 48 ? R 00:10 14:50 sh -c /bin/host

    ps -aux | grep perl -i
    root 6795 0.0 0.1 1812 488 pts/0 R+ 00:53 0:00 grep perl -i

    y el último me da command not found.
     
    Adsl5mb, 10 Mar 2008
    #12
  14. WebTech

    WebTech Súper Moderador Miembro del Staff Moderador CH

    Recuerda revisar sitios con aplicaciones viejas, sin actualizar, sobre todo formularios, suelen ser la principal fuente de este tipo de ataques. Si pasan los días y sigues con este problema, como comenté anteriormente, haz revisar tu servidor por algún SysAdmin o empresa que pueda solucionarlo desde su origen y dejar tu servidor "limpio". Tu sistema está seguramente comprometido.

    Saludos,
     
    WebTech, 10 Mar 2008
    #13


Alojamiento web, Hosting Reseller, Servidores Dedicados - All in Hosting


    
    
    
    
Blog · Sitios amigos: GuiaHosting · Unidominios · Interalta ·