Jump to content
Калькуляторы

zabbix грузит cpu на 100%

Неделю назад zabbix стал грузить проц:

 

Snymok_ekrana_2018_06_01_v_18_32_17_500.i.gif

 

Настроек ни каких не делал, место на диске достаточно. Убьешь пару самых больших процессов и примерно на час помогает потом снова.

Share this post


Link to post
Share on other sites

Ограничьте опросы. Заббикс затыкается на нехватке CPU.

Share this post


Link to post
Share on other sites

Извиняюсь, а это точно заббикс или кто-то под его учёткой?

На майнер похоже.

Edited by Kolunchik

Share this post


Link to post
Share on other sites
37 минут назад, vlad11 сказал:

Ограничьте опросы. Заббикс затыкается на нехватке CPU.

Имеется ввиду пингом устройства? Стояла минута, поставил 3. Устройств не прибавилось, до этого все работало.

 

19 минут назад, Kolunchik сказал:

Извиняюсь, а это точно заббикс или кто-то под его учёткой?

На майнер похоже.

Еще бы знать как это проверить. Если это оно, то who показывает одного пользователя в системе и это не zabbix.

Share this post


Link to post
Share on other sites

Так посмотрите, что это запущено и откуда (там в начале вроде /tmp/ видно).

Посмотрите /proc/<pid>/cmdline.

Share this post


Link to post
Share on other sites

А у вас забикс в мир открыт ? (ну, своя, забиксная, авторизация внезапно может оказать не проблемой для сильно желающих попасть в вашу систему...)

Ну как минимум посмотреть время появления процесса и поискать входы в это время в логах

Share this post


Link to post
Share on other sites

Пишите тогда сразу и версию Забикса и окружения, для истории.

Share this post


Link to post
Share on other sites
23 минуты назад, st_re сказал:

А у вас забикс в мир открыт ? (ну, своя, забиксная, авторизация внезапно может оказать не проблемой для сильно желающих попасть в вашу систему...)

Доступ в мир ему открыт, но он за натом, ни какие порты на него не прокинуты. Попробовать отключить мир?

 

26 минут назад, st_re сказал:

Ну как минимум посмотреть время появления процесса и поискать входы в это время в логах

 

Наверное who какие пользователи в системе? Там один я. Я так думаю :)

 

47 минут назад, Kolunchik сказал:

Так посмотрите, что это запущено и откуда (там в начале вроде /tmp/ видно).

Да бывает так, а бывает и так:

 

Snymok_ekrana_2018_06_01_v_22_07_44_500.i.gif

 

Посмотрел в каталоге tmp, там только эти файлы, а в них по несколько строчек в которых ip коммутаторов пингует zabbix. И там всего несколько файлов в которых по паре строчек, а устройств куда больше, не понятно зачем эти файлы записал zabbix:

 

Snymok_ekrana_2018_06_01_v_22_09_39_500.i.gif

 

34 минуты назад, Kolunchik сказал:

Пишите тогда сразу и версию Забикса и окружения, для истории.

zabbix 3.0.17 стоит изначально он, не обновлялся, как поставил, настроил, так и работал. Окружение это что? zabbix пингует примерно 50 устройств, к десятку рисует графики ну все наверное. Это так было изначально.

Share this post


Link to post
Share on other sites

Под окружением подразумевалась операционка, апач и т.п.

Я бы посоветовал просто сделать копию БД заббикса и развернуться заново.

 

https://turngren.net/index.php/linux-and-the-monero-miner-malware/

https://serverfault.com/questions/890759/what-does-the-muhsti-command-mean-or-do

Share this post


Link to post
Share on other sites
1 час назад, Kolunchik сказал:

Под окружением подразумевалась операционка, апач и т.п.

Понятно, ubuntu 14.04.5LTS Apache 2.4.7

 

1 час назад, Kolunchik сказал:

Я бы посоветовал просто сделать копию БД заббикса и развернуться заново.

Этого достаточно, для переустановки? То есть шаблоны, узлы сети после переустановки из базы подтянутся?

 

49 минут назад, zhenya` сказал:

Вас похакали)

Че, круто. Это реально? Сервер за натом, из мира к нему доступа нет. На нем еще пара систем крутится, syslog и т.д. Так сказать физически за ним ни кто не работает, стоит себе шуршит по маленьку. Или это скорее всего в zabbix дыра и через нее пролезло?

Share this post


Link to post
Share on other sites

>> Этого достаточно, для переустановки? То есть шаблоны, узлы сети после переустановки из базы подтянутся?

 

Да, он всё в базе хранит. Если есть какие-то юзерскрипты для уведомлений или проверок - обязательно проверьте их сперва и только потом уже тоже в резервную копию.

 

И как обычно - посмотрите, когда майнер активизировался и смотрите все логи перед этим, может чего бросится в глаза. Хотя они не сразу активизируются обычно.

Edited by Kolunchik

Share this post


Link to post
Share on other sites
1 час назад, sherwood сказал:

Или это скорее всего в zabbix дыра и через нее пролезло?

Или живность в вашей сети и пролезло изнутри.

Share this post


Link to post
Share on other sites

Можно к нагружающему CPU процессу на несколько секунд подключиться strace'ом и посмотреть, чем он занят.

Share this post


Link to post
Share on other sites

Извиняюсь, это действительно взлом.

 Monero Miner Malware – Muhsti 

 

P.S. Извините, здесь на форуме не работает сброс форматирования текста.

Share this post


Link to post
Share on other sites
10 часов назад, Ilya Evseev сказал:

Можно к нагружающему CPU процессу на несколько секунд подключиться strace'ом и посмотреть, чем он занят.

Наверное можно, но я пока не очень в этом силен.

 

5 часов назад, vlad11 сказал:

Извиняюсь, это действительно взлом.

Круто. И этот ПК не открыт в мир. Не особе верится, что в локальной сети кто то мог этим заниматься. А если это прилетело с зараженного ПК то на сколько мне известно в сети нет машин по линуксом, хотя наверное это не важно. Как то думалось, что этого не будет (не винда же) так как на этом ПК не работают, то есть не серфят инет, не качают разные файлы. На нем правда стоит еще видео-каталог на который по веб заходят из локалки и скачивают контент.

Ну ладно, пробую пока на виртуалку поставить и имортировать базу, но что то не совсем проходит гладко, а именно файл базы получается примерно 2ГБ, файл php.ini я поправил. При импорте примерно минут 5 - предупреждение об остановки по тайм-ауту но можно продолжить импорт выбрав тот же файл. После нескольких попыток сообщение не пропадает, но вроде все таблицы импортировались. Пробую зайти по веб, открывается окно приветствия zabbix но при вводе учетных данных ошибка - не верный логин или пароль. Пробовал учетные данные и он новой и от старой учетки, так же и данные по умолчанию. Думаю перенести данные экспортом из зараженного zabbix в новый, узлов не так много. Потом буду удалять zabbix на зараженном ПК. Хотелось бы верить что он только файлы zabbix заразил, а не других сервисов.

Share this post


Link to post
Share on other sites

он систему покоцал. причем залез вероятно через дырку в заббикс web.

Share this post


Link to post
Share on other sites
1 час назад, sherwood сказал:

Не особе верится, что в локальной сети кто то мог этим заниматься.

Вы последние 10 лет в гибернации были?

Технологии и подходы не стоят на месте, они развиваются.

Проникновение в лоб через файрвол сейчас возможно только если файрвол забыли включить или правильно настроить — это как бы очевидная мысль. И столь же очевиден вывод — вредоносное ПО будет распространятся через промежуточных носителей в виде офисных десктопов или смартфонов, на которых оно себя может никак не проявлять.

И такой подход используется уже не первый год. А уж после недавних эпидемий с заражением роутеров изнутри это просто всем должно быть очевидно.

 

P.S. Проверяйте свою сеть. У вас за периметром живность завелась.

Share this post


Link to post
Share on other sites

Да, есть такая дырка в забиксе - хакается легко и просто через веб. Идет подмена в настройках через веб на путь к ping (в него ставится curl на скачку и выполнение). Залезает через клиента на винде который имеет доступ к настройкам заббикса

Edited by alexmern

Share this post


Link to post
Share on other sites
7 часов назад, alexmern сказал:

Залезает через клиента на винде который имеет доступ к настройкам заббикса

Интересненко. На вин 7 с которого и происходит заход стоит касперский тотал, со всеми обновлениями, доступ к этому ПК имею только я. Другие ПК в сети думаю и не знают о существование данного ресурса. Но даже если предположить что кто то узнал, то доступа нет, пароль стойкий к взлому. Буду удалять zabbix с этой машины (главное что бы этот вирь не затронул другие сервисы). На этом ПК стоит vnc server (удаленный доступ), но там длинный и сложный пароль, изменен стандартный порт. Есть ли случаи взлома vnc?

 

P.S.

Без доступа в мир эта зараза не активна. Похоже на бота для зарабатывания криптовалют.

Share this post


Link to post
Share on other sites

Отсчет:

Остановил сервис, удалил zabbix, базу. Процес попрежнему появляется, удалил пользователя zabbix и все затихло. Полез ручками посмотреть какие остались хвосты и вижу эту заразу:

 

Snymok_ekrana_2018_06_05_v_17_26_33_500.i.gif

 

Может кому будет полезным. Думаю если сразу знать где лежит то и вылечить было бы просто.

Share this post


Link to post
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now