Serveur dédié lent

[evasion]

Bonjour à tous, Joyeux noel

J'ai un petit souci avec mon dédié, en effet aux alentours de 6 heures ce matin mes sites ramaientt plutot pas mal

je me connect donc sous putty et tape une commande TOP

oh surprise le load average etait à 36 35 32 environ

Cpu utilisé a 100%

La cause est surement ci-dessous mais je n'ai pas vraiment d'idée sur à quoi cela correspond vraiment. Est ce que ca vous parle ? Je n'utilise rien en perl pourtant.

 PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND
25427 nobody    20   0  3040 3040  1496 R     7,1  0,6  12:31 perl
  233 nobody    20   0  3048 3048  1496 R     7,1  0,6   8:26 perl
19875 nobody    20   0  3056 3056  1500 R     7,1  0,6   6:34 perl
12068 nobody    20   0  3040 3040  1496 R     7,1  0,6   3:54 perl
 2104 nobody    20   0  3048 3048  1496 R     7,1  0,6   3:47 perl
25401 nobody    20   0  3044 3044  1500 R     7,1  0,6   1:23 perl
 1190 nobody    20   0  3036 3036  1496 R     7,1  0,5   0:52 perl
19328 nobody    19   0  3040 3040  1496 R     6,9  0,6   7:24 perl
20320 nobody    14   0  3036 3036  1496 R     6,3  0,5   7:11 perl
27219 nobody    14   0  3032 3032  1496 R     5,9  0,5  15:43 perl
22785 nobody    14   0  3036 3036  1496 R     5,9  0,5  14:20 perl
 3841 nobody    14   0  3044 3044  1500 R     5,9  0,6   6:28 perl
20612 nobody    14   0  3040 3040  1496 R     5,9  0,6   4:16 perl
22706 nobody    14   0  3028 3028  1496 R     5,9  0,5   3:05 perl
 3042 nobody    14   0  3028 3028  1496 R     5,9  0,5   0:26 perl

La avec un uptime de 10 min j'obtiens ca :

   10:13am  up  1:45,  1 user,  load average: 15,09, 14,70, 13,42
114 processes: 81 sleeping, 18 running, 15 zombie, 0 stopped
CPU states: 86,6% user, 13,3% system,  0,0% nice,  0,0% idle
Mem:   506388K av,  232200K used,  274188K free,       0K shrd,   38656K buff
Swap:  522104K av,       0K used,  522104K free                   62780K cached

 PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND
25427 nobody    20   0  3040 3040  1496 R     7,1  0,6  12:31 perl
  233 nobody    20   0  3048 3048  1496 R     7,1  0,6   8:26 perl
19875 nobody    20   0  3056 3056  1500 R     7,1  0,6   6:34 perl
12068 nobody    20   0  3040 3040  1496 R     7,1  0,6   3:54 perl
 2104 nobody    20   0  3048 3048  1496 R     7,1  0,6   3:47 perl
25401 nobody    20   0  3044 3044  1500 R     7,1  0,6   1:23 perl
 1190 nobody    20   0  3036 3036  1496 R     7,1  0,5   0:52 perl
19328 nobody    19   0  3040 3040  1496 R     6,9  0,6   7:24 perl
20320 nobody    14   0  3036 3036  1496 R     6,3  0,5   7:11 perl
27219 nobody    14   0  3032 3032  1496 R     5,9  0,5  15:43 perl
22785 nobody    14   0  3036 3036  1496 R     5,9  0,5  14:20 perl
 3841 nobody    14   0  3044 3044  1500 R     5,9  0,6   6:28 perl
20612 nobody    14   0  3040 3040  1496 R     5,9  0,6   4:16 perl
22706 nobody    14   0  3028 3028  1496 R     5,9  0,5   3:05 perl
 3042 nobody    14   0  3028 3028  1496 R     5,9  0,5   0:26 perl
22165 root      11   0  1088 1088   828 R     0,3  0,2   0:01 top
    1 root       9   0   524  524   456 S     0,0  0,1   0:03 init

C'est plutot bizzar je trouve, la mémoire est pas vraiment sollicitée, les process peu nombreux...

J'espere vraiment que ce n'est pas une attaque ?

Merci de votre aide

Modifié 25 Décembre 2004 par moutyk

[evasion]

Re,

En cherchant encore j'ai trouvé ceci :

tcp        0    145 213.186.62.37:33894     208.53.160.114:6667     ESTABLISHED 21276/httpd -DSSL
tcp        0    139 213.186.62.37:49981     208.53.160.114:6667     ESTABLISHED 22706/httpd -DSSL
tcp        0    139 213.186.62.37:49674     208.53.160.114:6667     ESTABLISHED 25401/httpd -DSSL
tcp        0      0 213.186.62.37:80        64.46.100.43:59856      TIME_WAIT   -
tcp        0    139 213.186.62.37:56632     208.53.160.114:6667     ESTABLISHED 847/httpd -DSSL
tcp        0    139 213.186.62.37:40742     208.53.160.114:6667     ESTABLISHED 16716/httpd -DSSL
tcp        0    139 213.186.62.37:40763     208.53.160.114:6667     ESTABLISHED 27219/httpd -DSSL
tcp        0   2960 213.186.62.37:22        83.115.113.219:1428     ESTABLISHED 31251/1
tcp        0      0 213.186.62.37:80        213.186.62.37:35156     TIME_WAIT   -
tcp        0      0 213.186.62.37:80        63.238.163.76:4342      TIME_WAIT   -
tcp        0    139 213.186.62.37:54719     208.53.160.114:6667     ESTABLISHED 12068/httpd -DSSL
tcp        0    139 213.186.62.37:54961     208.53.160.114:6667     ESTABLISHED 233/httpd -DSSL
tcp        0      0 213.186.62.37:80        206.123.74.180:37952    ESTABLISHED 22712/httpd
tcp        0    139 213.186.62.37:37318     208.53.160.114:6667     ESTABLISHED 12862/httpd -DSSL
tcp        0    139 213.186.62.37:60856     208.53.160.114:6667     ESTABLISHED 2104/httpd -DSSL
tcp        0    139 213.186.62.37:43565     208.53.160.114:6667     ESTABLISHED 1190/httpd -DSSL
tcp        0      0 213.186.62.37:80        83.156.140.19:1994      ESTABLISHED 25455/httpd
tcp        0      0 213.186.62.37:80        83.156.140.19:1995      ESTABLISHED 25211/httpd
tcp        0    139 213.186.62.37:42673     208.53.160.114:6667     ESTABLISHED 20320/httpd -DSSL

L'ip 208.53.160.114 est récurente, j'en pense donc que le problème vient de la.

Je n'ai rien trouvé concernant le bloquage d'adresse ip sur un serveur dédié, j'avais pourtant lu il y' a quelques temps un article la dessus

Si quelqu'un pouvait me donner quelques conseils, ca serait vraiment bien sympa en ce beau jour de noel

Merci

[Dan]

Salut Moutyk,

Difficile de dire ce qui lance perl de cette manière.

Tu peux bloquer facilement l'IP 213.186.62.37 avec iptables en lançant la commande:

iptables -A INPUT -s 208.53.160.114 -j DROP

Cela devrait calmer le jeu.

Dan

[Dan]

En recherchant un peu, le port 6667 est un port utilisé par le chat IRC. (ircd)

As-tu installé un serveur IRC sur ton dédié ? Regardes si tu as un process ircd qui tourne ...

Sinon, il est aussi possible que cela vienne du ver W32.HLLW.Gaobot.BB. Un de tes visiteurs est infecté et le ver tente une intrusion sur ton serveur.

[adn]

moutyk,

Je suis un peu hors sujet, mais pour ma culture, comment obtiens-tu ton analyse avec les adresses ip ?

Merci

[kamino]

Bonjour,

en regardant la sortie du top, on voit notamment que tu as 15 processes zombies.

Ca veut dire que tu as 15 processes qui n'ont plus de processes père.

En général les processes sans père tournent tout seul en boucle et consomment donc pas mal de CPU.

A voir le nombre de processes Perl, c'est probable que se soient eux qui ont perdu leurs processes père.

Arrête et relance ton traitement perl, ou kill les...

Cordialement,

[Dan]

Moutyk,

Cela semble être du même tonneau que l'attaque dont je parle dans le forum annonces. Fais un "killall perl" et vérifie que les répertoires /tmp et /var/tmp ne comportent rien d'anormal

Dan

[evasion]

Merci pour vos réponses

Le temps d'aller faire un petit somme le load average est quand meme monté a 75

hallucinant je pense, le site coté mysql ramait pas mal par contre page statique nikel.

En bloquand l' ip apparement ca ne donne rien, par contre killal perl a fonctionnait mais les Command perl reviennent tout doucement à raison de une toutes les 5 minutes environ

Je n'ai pas installé de chat irc sur le serveur

Ca evolue encore, apparement le bloquage d'ip à l'air de fonctionner ou je ne sais quoi. Depuis 10 min il y'avait 3 COMMAND perl la maintenant je regarde je n'en ai plus qu'une seule

un petit top :

4:34pm  up 37 min,  1 user,  load average: 1,09, 3,00, 5,79
185 processes: 180 sleeping, 4 running, 1 zombie, 0 stopped
CPU states: 84,3% user, 15,6% system,  0,0% nice,  0,0% idle
Mem:   506388K av,  225568K used,  280820K free,       0K shrd,    9488K buff
Swap:  522104K av,       0K used,  522104K free                   30320K cached

  PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME COMMAND
10932 nobody    15   0  3020 3020  1492 R    95,4  0,5   1:07 perl
23676 nobody     9   0  6328 6328  4260 S     0,7  1,2   0:01 httpd
14988 root      11   0  1132 1132   828 R     0,7  0,2   0:05 top
 5495 nobody     9   0  6620 6620  4264 S     0,3  1,3   0:02 httpd
 4781 named      9   0  3320 3320  2024 S     0,1  0,6   0:00 named
10227 nobody     9   0  6604 6604  4256 S     0,1  1,3   0:01 httpd
 6853 nobody     9   0  6464 6464  4228 S     0,1  1,2   0:01 httpd
29498 nobody     9   0  6528 6528  4264 R     0,1  1,2   0:01 httpd
 6099 nobody     9   0  1540 1540  1244 S     0,1  0,3   0:00 wget
24096 nobody     9   0  1540 1540  1244 S     0,1  0,3   0:00 wget
24486 mysql     10   0  7100 7100  1184 S     0,1  1,4   0:00 mysqld
    1 root       8   0   524  524   456 S     0,0  0,1   0:05 init
    2 root       9   0     0    0     0 SW    0,0  0,0   0:00 keventd
    3 root      19  19     0    0     0 SWN   0,0  0,0   0:00 ksoftirqd_CPU0
    4 root       9   0     0    0     0 SW    0,0  0,0   0:00 kswapd
    5 root       9   0     0    0     0 SW    0,0  0,0   0:00 bdflush
    6 root       9   0     0    0     0 SW    0,0  0,0   0:00 kupdated

Je vais allé voir les repertoires /tmp et /var/tmp et alle voir l'annonce

Pour répondre à adn j'ai utilisé la commande : "netstat -tanpu"

Un grand MERCI pour votre aide vraiment sympa

Modifié 25 Décembre 2004 par moutyk

[evasion]

Désolé je vais poster un nouveau message pour que ce soit plus claire, si je vous mets en live ce que j'observe cela va vite etre illisible

Visiblement le fait d'avoir bloqué l'ip et Killal perl a arrangé pas mal de chose

La je n'ai aucune COMMAND PERL d'ouverte voir une seule mais elle disparait aussitôt

Par contre la seule chose anormale est le nombre de zombies, qui la dépasse les 30 et visiblement ca augmente sans cesse

Je vais allé chercher plus d'infos à ce sujet

MERCI encore

[Dan]

Salut Moutyk,

Et le nombre de process à 185, c'est normal ? Perso cela me semble plutôt haut, mais cela dépend du nombre de processus httpd que tu as lancés.

[Dan]

Je vois aussi des process wget sur ton serveur. N'es tu pas atteint par le ver qui scanne les sites pour les serveurs phpBB ? As-tu les fichiers .txt dans le répertoire /tmp ?

Lances une commande "ps auxw" pour voir ce qu'ils ont comme arguments

<edit: vas voir ce post: http://www.webmaster-hub.com/index.php?showtopic=8308 >

[evasion]

Re et MERCI Dan,

Je crois que tu as trouvé le problème voici ce que donne ps aux

--basedir=/ --datadir=/var/lib/mysql --user=mysql --
........................
/bin/httpd
nobody   19447  0.0  0.3  3548 1584 ?        S    18:45   0:00 wget www.visualco
ders.net/zone.txt
nobody   13504  0.0  0.3  3480 1540 ?        S    18:45   0:00 wget www.visualcoders.net/ownz.txt
nobody   15684  0.0  0.3  3548 1584 ?        S    18:45   0:00 wget www.visualcoders.net/ownz.txt
nobody    9715  0.0  0.3  3480 1540 ?        S    18:45   0:00 wget www.visualcoders.net/php.txt
nobody    9872  0.0  0.3  3548 1584 ?        S    18:45   0:00 wget www.visualcoders.net/ownz.txt
nobody    1027 12.9  0.5  4544 3036 ?        R    18:45   0:11 /hsphere/shared/apache/bin/httpd -DSSL
nobody   14476  0.0  0.3  3480 1540 ?        S    18:46   0:00 wget www.visualcoders.net/zone.txt
nobody   23752  0.2  1.0  9136 5080 ?        S    18:46   0:00 /usr/local/apache/bin/httpd
nobody    6257  0.2  1.2 10308 6360 ?        S    18:46   0:00 /usr/local/apache/bin/httpd
nobody    7719  0.4  1.2 10264 6344 ?        S    18:46   0:00 /usr/local/apache/bin/httpd
nobody   28854  0.0  0.3  3480 1540 ?        S    18:46   0:00 wget www.visualcoders.net/zone.txt
nobody    3557  0.2  1.2 10268 6292 ?        S    18:46   0:00 /usr/local/apache/bin/httpd
nobody   10180  0.1  0.8  8688 4204 ?        S    18:46   0:00 /usr/local/apache/bin/httpd
nobody   13104  0.1  0.9  8896 4732 ?        S    18:46   0:00 /usr/local/apache/bin/httpd
nobody    5320 11.7  0.5  4476 3000 ?        R    18:46   0:04 /hsphere/shared/apache/bin/httpd -DSSL
nobody   12033 11.2  0.5  4476 3000 ?        R    18:46   0:03 /hsphere/shared/apache/bin/httpd -DSSL
nobody    9081  0.0  0.3  3480 1540 ?        S    18:46   0:00 wget www.visualcoders.net/ownz.txt
nobody   26546  0.0  0.3  3480 1568 ?        S    18:47   0:00 wget www.visualcoders.net/zone.txt
nobody   15904  0.0  0.8  8660 4076 ?        S    18:47   0:00 /usr/local/apache/bin/httpd
nobody   27123  0.2  0.3  3480 1540 ?        S    18:47   0:00 wget www.visualcoders.net/zone.txt
mysql     9589  5.0  1.5 15532 7640 ?        D    18:47   0:00 /usr/sbin/mysqld --basedir=/ --datadir=/var/lib/mysql --user=mysql --
root     17077  0.0  0.1  2716  828 pts/0    R    18:47   0:00 ps auxw

J'ai d'après ton article executé les deux commandes toute fois je sais pas si j'ai iptables d'installé, comment puis-je le faire

les deux commandes ne m'ont retourné aucun résultats

Y'a t il d'autres manipulation à effectuer .

Merci encore Dans tu es super !!!

Modifié 25 Décembre 2004 par moutyk

[evasion]

Désolé encore moi

J'ai bien les fichiers "spybot.txt" "worm.txt" "php.txt" et compagnie.

Je suis un peu panique la, je sais pas vraiment comment les effacer efficacement, est ce que je peux le faire eventuement par webmin dans gestionnaires de fichiers?

Sinon j'ai un autre question : D'ou vient le problème exactement ? je viens de mettre phpbb à jour au cas ou

Merci de votre aide

[Dan]

Si tu as ces fichiers, tu les enlèves, tout simplement.

Il est tout de même malheureux qu'une faille déclarée le 15 décembre ne pousse pas les utilisateurs de phpBB à se prémunir des attaques, non ?

Sans vouloir t'accabler... tu avais le temps de le mettre à jour.

Tu vires ces fichiers, fais une commande "killall perl" ,une autre "killall wget" et mets ton phpBB à jour. Après tu devrais être tranquille.

Si tu n'as pas eu de réponse à ces deux commandes iptables, c'est qu'il est installé

Le mieux est de mettre en plus à la racine de ton site un fichier .htaccess avec les lignes suivantes:

RewriteEngine On
RewriteCond  %{HTTP_USER_AGENT}  LWP::Simple [NC]
RewriteRule  .*   -   [F]

Au moins tu interdiras au UserAgentr LWP::Simple de faire du dégât.

Dan