Utilisation CPU 100%

Bonjour à tous,

Je me permet de vous contacter car je rencontre un problème sur un serveur Debian 7.8
J’ai le CPU qui tourne à 100% à cause d’un process Apache (voir image ci joint).

Ce qui est étrange c’est dans la colonne “COMMAND”, je vois “///”
Si je fais ps -ef | grep ///, je retrouve ceci:

www-data  5958     1 95 08:58 ?        00:07:15 ///       MvGJ6F80QE

Je peux kill le process mais il revient immédiatement.

En revanche, je constate si je fais un : tail -f /var/log/error.log que j’ai la ligne suivante qui apparaît de manière ininterrompu (au moins 20 lignes à la seconde) :

pkill: killing pid 2187 failed: Operation not permitted 

(le PID change à chaque ligne).
Je pense donc que le problème vient de là mais je n’arrive pas à le résoudre.
J’ai reboot le serveur mais sans résultat.
Je sèche complètement et mes compétences sur Linux ne me permette pas de trouver la cause du problème.

Est ce que quelqu’un peut me venir en aide ?

Merci d’avance.

Bonne journée à tous !

Sans doute du cryptominage, regarde pour isoler la merdouille avec un lsof pour cibler les fichiers, il doit y en avoir en /tmp

Bien vu !
En effet, j’ai supprimer 5 fichier dans /tmp avec des noms bizarre.
J’ai supprimer mon serveur web et killer le process et c’est ok, le process est retombé.
En revanche, dès que je relance le serveur web, les fichiers reviennent dans le /tmp et le process remonte à 100%.
Comment je peux déterminer ou est la source du problème ?
Il doit y avoir un script malveillant coté serveur web qui génère ce code.
Quel est le moyen de le ciblé ?

avec un peu de chance le script qui crée les fichier les enregistre lui mème tu pourrais donc savoir le créateur et le supprimer sinon une fonction de recherche existe mais je ne sais pas si elle fouille dans les fichier.

Merci pour vos retours.
Malheureusement, les fichier sont créé par le user apache www-data.

root@vps178195:/tmp# ll
total 1460
-rw-r--r-- 1 www-data www-data    240 juil.  6 12:03 G6k46ao
-rwxrwxrwx 1 www-data www-data 502056 juin  23 06:04 GPH2E2d
-rw-r--r-- 1 www-data www-data    144 juil.  6 12:03 jodNmip
-rw-r--r-- 1 www-data www-data     83 juil.  6 12:03 MaNfd7d
-rwxr-xr-x 1 www-data www-data 975488 juil.  6 12:03 ponAdE4
-rw-r--r-- 1 www-data www-data      0 juil.  6 12:03 pone.pid

En fait, dès que je rafraîchie ma page web après avoir redémarrer apache, les fichier dans /tmp reviennent et le process monte à 100%.
J’ai vraiment du choper quelque chose sur mon serveur web.
Mon site tourne sur Drupal et j’ai lu pas mal d’article sur le virus (qui mine des crypto) qui s’appel kitty (découvert en mai de cette année).
Mais pour remettre au propre, ça semble compliqué.

tu peux pas le blacklist avant de supprimer tes fichier?

C’est à dire ?

au moment ou tu relance ton serveur, “apache www-data” a l’air de les télécharger si tu le blacklist il ne devrai plus pouvoir télécharger sur t’as machine ,après si les nom des fichier sont toujours les même tu peux les blacklist au passage , a voir avec des spécialiste sur comment si prendre

Les noms changent.
Je vais creuser aussi avec le forum Drupal.
Au pire, je restaure un backup mais ils datent un peu

la backup peux être une des meilleur idée mais tu pourrais te rechoper le virus D’où l’importance de blacklist le serveur d’où il proviens

Oui mais pire que ça, je pense qu’il vient de fichier javascript insérés dans mon site web.