Вопрос или проблема
раз в несколько дней. иногда дважды в день запускается процесс, который съедает 100% процессора. Что это может быть?
/root/.x/static
clamscan говорит, что это не вирус. У меня VPS сервер на DigitalOcean 2GB RAM, 2 ядра. Установлен cyberpanel с сайтами на wordpress. Обычно используется максимум 50% процессора. Но когда этот процесс начинается, он использует постоянно 100%.
/root/.x/static: ELF 64-bit LSB executable, x86-64, version 1 (SYSV), statically linked, BuildID[sha1]=93921a7ed626d1ae5e6c5cfdb348432739394400, stripped
Вам может быть полезно использовать другой инструмент для мониторинга вашей системы – btop. Я лично предпочитаю этот инструмент.
Его можно установить с помощью этих команд в терминале:
sudo apt update && sudo apt upgrade
sudo apt install btop
Затем используйте btop в терминале, чтобы запустить его.
Интерфейс намного более дружелюбен пользователю, чем htop и top, а также это инструмент мониторинга ресурсов. Это единая точка отслеживания всего использования ресурсов, он также предоставляет возможности настройки под нужды пользователя.
Вы могли бы быть в лучшем положении для анализа любых проблем с использованием этого инструмента. При запуске нажмите 1, чтобы увидеть более детальный обзор процессов процессора, и h, чтобы увидеть помощь во время работы приложения.
.
Ответ или решение
Ваш сервер на DigitalOcean с установленной CyberPanel и работающими сайтами на WordPress периодически сталкивается с проблемой высокого использования ЦПУ, доходящего до 100%. Основной виновник — процесс, запускаемый из файла /root/.x/static, который сильно нагружает систему.
Анализ Проблемы:
-
Расположение и Подозрительность:
- Директория
/root/.xи файлstaticвыглядят необычно для стандартных системных или пользовательских процессов. Большая вероятность, что этот файл был помещен на вашем сервере несанкционированно, особенно если вы его не устанавливали.
- Директория
-
Тип Файла:
- Судя по предоставленной информации, этот файл — исполняемый ELF-файл, оптимизированный для x86-64 архитектуры. Это указывает на то, что он может содержать скомпилированный код, который выполняется как бэкдор или майнер криптовалют.
-
Рекомендации от ClamScan:
- Если ClamScan не обнаружил вирус, это не гарантирует отсутствие угрозы. Вредоносные файлы могут быть продумано спрятаны от общего антивирусного программного обеспечения.
Решения и Рекомендуемые Действия:
-
Установка и Использование BTOP:
- Пакет
btopможет предложить более детализированную информацию о текущих процессах, использовании процессора, памяти, и сетевом трафике. Это полезно для определения источника нагрузки.
sudo apt update && sudo apt upgrade sudo apt install btop- После установки введите
btopв терминале, чтобы запустить мониторинг. Нажмите1для подробного анализа процессов CPU иh, чтобы открыть справку.
- Пакет
-
Анализ и Удаление:
- Используйте
btopили другие инструменты, напримерhtop, чтобы отслеживать процессы. Если процесс/root/.x/staticвсё ещё активен, принудительно завершите его. - Изучите строку запуска процесса и IP-адреса, с которыми он может устанавливать связи.
- Используйте
-
Углубленный Антивирусный Анализ:
- Проведите углубленное сканирование с помощью более специализированных инструментов, например, Rootkit Hunter или Lynis, чтобы убедиться в отсутствии других угроз.
-
Обновление и Защита Системы:
- Убедитесь, что все пакеты и ядро системы обновлены.
- Установите средства безопасности как Fail2Ban и проверяйте журнал авторизации на подозрительную активность.
- Рассмотрите возможность использования инструментов IDS (системы обнаружения вторжений) вроде OSSEC.
-
Резервное копирование и Планирование:
- Периодически делайте резервные копии всей важной информации.
- Распишите план восстановления и критических действий в случае повторной компрометации.
Кратко завершая, такие симптомы часто бывают результатом взлома или внедрения вредоносного кода на сервер. Рекомендуется максимально тщательно исследовать все аспекты, касающиеся безопасности вашего VPS, и усилить его защиту.