Sehr hohe CPU auslastung.

    Hallo
    habe wieder das problem, das mein Server wieder eine hohe CPU Auslastung hat, es ist unmöglich sich per SSH oder Webbrowser (Apache2 läuft auf Server) so verbinden.
    Server hat einfach zu langen load, bekomme also kein Timeout.
    Musste deswegen schon einmal eine Neu-installation machen weil ich mich einfach nicht erklären kann wo der Prozess herkommt.


    laut

    Code
    top

    ist CPU bei 194%, das schwankt auch geht auch mal runter auf 30% das ist dann der kurze Moment wo ich mich mal mit SSH verbinden kann.



    PID USER PR NI VIRT RES SHR S %CPU %MEM ZEIT+ BEFEHL
    1146 root 20 0 58204 644 404 S 194,3 0,0 11:20.38 asphkhxxjl



    Wenn ich die PID kill kommt ein neuer Prozess unter einen andern Name, eine Art endlosschleife.
    Komme nur sonst über VNC Console auf den server.


    Habe auch seit 2 tagen nix installiert oder sonswat, läuft nur LAMP mit Joomla 3.6.3 und Myphpadmin drauf.
    Das Problem kamm von jetzt auch gleich.
    Es läuft ubuntu 16.04 Minimal



    Habe ihr eine Idee?

    Meine spontane Meinung:
    Das sieht nicht gut aus. Server komprimittiert und jetzt macht der SSH-Angriffe?
    Mal lsof - i gemacht und was auffälliges gesehen?

    Current Servers

    morpheus: Root-Server M SSD v6a2
    apoc: VPS 50 G7
    link: Storage-Server S 1000 G7

    Was meinst du mit SSh-Angriffe?
    Ich wollte mit Desktop via SSH auf Server verbinden, aber bin nicht drauf gekommen.


    Ich habe jetzt ein 3Tage alten Snapshot laufen, da läuft dieser Prozess noch nicht.
    Werde das jetzt noch einmal beobachten, wenn der Prozess nochmal auftaucht, werde ich mal lsof anschauen.

    Ich wollte eher darauf hinaus, dass jemand deinen Server gehackt hat und jetzt damit böse Dinge (TM) anstellt. Zum Beispiel versuchen per Bruteforce die Passwörter von anderen Rechnern zu erraten.

    Current Servers

    morpheus: Root-Server M SSD v6a2
    apoc: VPS 50 G7
    link: Storage-Server S 1000 G7

    Ein Prozess mit dem Namen 'asphkhxxjl' ist zu einer hohen Wahrscheinlichkeit nichts was gewünscht ist.
    Höchstwahrscheinlich Malware.
    Prüf genauer wo das Programm herkommt - aber als allerstes solltest du die Netzwerkverbindungen trennen und nur noch auf der Console arbeiten.


    Wer weiß was dein Server alles treibt momentan.


    Thomas

    Zitat von rellik

    Habe das update auf joomla 3.6.4 gemacht, alle pws geändert, mal beobachten.

    Mutig...
    Normalerweise sagt man dass ein einmal kompromitiertes System nicht "rettbar" ist und setzt es immer komplett neuvaus einem (hoffentlich sauberen) Backup auf. Du könntest aber natürlich Glück haben und der Einbrecher hatte tatsächlich nur Zugriff über eine Webanwendung (Joomla) und diesen auch nicht erweitert...


    Thomas

    thomas: Der TE hat doch schon neu installiert?


    Wobei ich mich trotzdem Frage, ob das das Leck war. Der Prozess lief offenbar als root. Der Angreifer müsste somit entweder das Root-PW von innen erraten haben oder einen Root-Exploit ausgenutzt haben. Vielleicht war auch die aktuelle Kernellücke mitschuld?



    MfG Christian

    "Wer nur noch Enten sieht, hat die Kontrolle über seine Server verloren." (Netzentenfund)