Bonjour, je voudrais comprendre pourquoi j’ai 191 % cpu sur mon serveur apache (drupal en prod). Ce n’est pas normal comme comportement ?
Et c’est quoi cette commande DONOTREMOVE
j’ai vérifier le nb d’user apache avec un netstat sur 80 et 443
mais j’ai que 3 user connecté
merci
Bonjour,
Je ne sais pas ce qu’est le processus DONOTREMOVE, mais si toi non plus, je te suggère de le couper. La comme ça, je dirais tout simplement que c’est un programme malveillant que quelqu’un a réussi à déposer et exécuter sur ton apache… Tu peux toujours essayer d’éditer le programme, pour peut-être voir ce qu’il y a dedans.
Regarde avec lsof -p pid_du_processus_bidon pour voir où ce situe les fichiers utilisé par ce dit processus, avec un peux de chance tu pourra trouver le coupable et nettoyer quelque peux la machine.
Je ferais un coup de strace -p ${pid} de ton truc bizarre pour voir les appels qu’il fait. Et je compléterais avec un coup de rkhunter -c parce-que ton machin sent un peu ds pieds… Le truc a l’air de te manger 2 cores complets, c’est pas propre.
la commande lspof me retourne
lsof -p 30479
COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME
DONOTREMO 30479 www-data cwd DIR 254,1 4096 2 /
DONOTREMO 30479 www-data rtd DIR 254,1 4096 2 /
DONOTREMO 30479 www-data txt REG 254,1 2731128 131542 /tmp/DONOTREMOVE
DONOTREMO 30479 www-data 0r CHR 1,3 0t0 1028 /dev/null
DONOTREMO 30479 www-data 1w CHR 1,3 0t0 1028 /dev/null
DONOTREMO 30479 www-data 2w CHR 1,3 0t0 1028 /dev/null
DONOTREMO 30479 www-data 3u 0000 0,9 0 6606 anon_inode
DONOTREMO 30479 www-data 4r FIFO 0,8 0t0 164866 pipe
DONOTREMO 30479 www-data 5w FIFO 0,8 0t0 164866 pipe
DONOTREMO 30479 www-data 6r FIFO 0,8 0t0 164865 pipe
DONOTREMO 30479 www-data 7w FIFO 0,8 0t0 164865 pipe
DONOTREMO 30479 www-data 8u 0000 0,9 0 6606 anon_inode
DONOTREMO 30479 www-data 9r CHR 1,3 0t0 1028 /dev/null
DONOTREMO 30479 www-data 10u IPv4 164869 0t0 TCP 195---.rev.poneytelecom.eu:->ns3102811.ip---**.eu:http (ESTABLISHED)
je suis parti voir dans tmp
mais le fichier n’est pas lisible soit un binaire ou chiffré ou autre
je ne vois pas ce qu’est ce fichier j’ai fait
j’avoue que la commande strace je ne connais pas et elle me remonte ceci
epoll_wait(3, {}, 1024, 376) = 0
epoll_wait(3, {{EPOLLIN, {u32=8, u64=8}}}, 1024, 500) = 1
read(8, “\1\0\0\0\0\0\0\0”, 1024) = 8
write(10, “{“id”:9,“jsonrpc”:“2.0”,“method””…, 233) = 233
epoll_ctl(3, EPOLL_CTL_MOD, 10, {EPOLLIN, {u32=10, u64=10}}) = 0
epoll_wait(3, {{EPOLLIN, {u32=10, u64=10}}}, 1024, 73) = 1
read(10, “{“id”:9,“jsonrpc”:“2.0”,“error”:”…, 2048) = 63
epoll_wait(3, {}, 1024, 53) = 0
Merci
j’ai fait un rkhunter mais rien trouvé par contre en faisant file sur le fichier
"DONOTREMOVE: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, stripped"
Donc j’ai fait un strings sur DONOTREMOVE je trouve plein d’information le certificat root digicert, Quovadis, Comodo et plein d’autre information
"**Port number out of range
22111 Port number ended with '%c’
22112 anonymous
22113 ftp@example.com
22114 Connecting to hostname: %s
22115 Connecting to port: %d
22116 No connections available.
22117 Couldn’t resolve host '%s’
22118 Couldn’t resolve proxy '%s’
22119
22120 Host name ‘%s’ contains bad letter
22121 IDN support not present, can’t parse Unicode domains
22122
22123 Connection %ld seems to be dead!
22124 /etc/ssl/certs/ca-certificates.crt
22125 Found bundle for host %s: %p [%s]
22126 Server doesn’t support multi-use yet, wait
22127 Server doesn’t support multi-use (yet)
22128 Could pipeline, but not asked to!
22129 Could multiplex, but not asked to!
22130 Connection #%ld is still name resolving, can’t reuse
22131 Connection #%ld isn’t open enough, can’t reuse
22132 Multiplexed connection found!
22133 Found pending candidate for reuse and CURLOPT_PIPEWAIT is set
22134 Connected to %s (%s) port %ld (#%ld)
22135 Illegal characters found in URL
22136 Bad URL, colon is first character
22137 SMB shares are not supported in file: URLs.
22138 Invalid file://hostname/, expected localhost or 127.0.0.1 or none
22139 File drive letters are only accepted in MSDOS/Windows.
22140 Unwillingly accepted illegal URL using %d slash%s!
22141 Protocol “%s” not supported or disabled in libcurl
22142 Please URL encode %% as %%25, see RFC 6874.
"
je pense plus un fichier de conf généré par qq chose peut DRUPAL mais je ne vois d’ou ca peut venir
Finalement j’avance la piste du cryptominer semble se préciser
plusieurs fichier shell trouver à coté un fichier json avec une référence à crytponight avec des url “pool.minerx…”