Перейти к содержимому
Калькуляторы

zabbix грузит cpu на 100%

Неделю назад zabbix стал грузить проц:

 

Snymok_ekrana_2018_06_01_v_18_32_17_500.i.gif

 

Настроек ни каких не делал, место на диске достаточно. Убьешь пару самых больших процессов и примерно на час помогает потом снова.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Ограничьте опросы. Заббикс затыкается на нехватке CPU.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Извиняюсь, а это точно заббикс или кто-то под его учёткой?

На майнер похоже.

Изменено пользователем Kolunchik

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

37 минут назад, vlad11 сказал:

Ограничьте опросы. Заббикс затыкается на нехватке CPU.

Имеется ввиду пингом устройства? Стояла минута, поставил 3. Устройств не прибавилось, до этого все работало.

 

19 минут назад, Kolunchik сказал:

Извиняюсь, а это точно заббикс или кто-то под его учёткой?

На майнер похоже.

Еще бы знать как это проверить. Если это оно, то who показывает одного пользователя в системе и это не zabbix.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Так посмотрите, что это запущено и откуда (там в начале вроде /tmp/ видно).

Посмотрите /proc/<pid>/cmdline.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

А у вас забикс в мир открыт ? (ну, своя, забиксная, авторизация внезапно может оказать не проблемой для сильно желающих попасть в вашу систему...)

Ну как минимум посмотреть время появления процесса и поискать входы в это время в логах

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Пишите тогда сразу и версию Забикса и окружения, для истории.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

23 минуты назад, st_re сказал:

А у вас забикс в мир открыт ? (ну, своя, забиксная, авторизация внезапно может оказать не проблемой для сильно желающих попасть в вашу систему...)

Доступ в мир ему открыт, но он за натом, ни какие порты на него не прокинуты. Попробовать отключить мир?

 

26 минут назад, st_re сказал:

Ну как минимум посмотреть время появления процесса и поискать входы в это время в логах

 

Наверное who какие пользователи в системе? Там один я. Я так думаю :)

 

47 минут назад, Kolunchik сказал:

Так посмотрите, что это запущено и откуда (там в начале вроде /tmp/ видно).

Да бывает так, а бывает и так:

 

Snymok_ekrana_2018_06_01_v_22_07_44_500.i.gif

 

Посмотрел в каталоге tmp, там только эти файлы, а в них по несколько строчек в которых ip коммутаторов пингует zabbix. И там всего несколько файлов в которых по паре строчек, а устройств куда больше, не понятно зачем эти файлы записал zabbix:

 

Snymok_ekrana_2018_06_01_v_22_09_39_500.i.gif

 

34 минуты назад, Kolunchik сказал:

Пишите тогда сразу и версию Забикса и окружения, для истории.

zabbix 3.0.17 стоит изначально он, не обновлялся, как поставил, настроил, так и работал. Окружение это что? zabbix пингует примерно 50 устройств, к десятку рисует графики ну все наверное. Это так было изначально.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Под окружением подразумевалась операционка, апач и т.п.

Я бы посоветовал просто сделать копию БД заббикса и развернуться заново.

 

https://turngren.net/index.php/linux-and-the-monero-miner-malware/

https://serverfault.com/questions/890759/what-does-the-muhsti-command-mean-or-do

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, Kolunchik сказал:

Под окружением подразумевалась операционка, апач и т.п.

Понятно, ubuntu 14.04.5LTS Apache 2.4.7

 

1 час назад, Kolunchik сказал:

Я бы посоветовал просто сделать копию БД заббикса и развернуться заново.

Этого достаточно, для переустановки? То есть шаблоны, узлы сети после переустановки из базы подтянутся?

 

49 минут назад, zhenya` сказал:

Вас похакали)

Че, круто. Это реально? Сервер за натом, из мира к нему доступа нет. На нем еще пара систем крутится, syslog и т.д. Так сказать физически за ним ни кто не работает, стоит себе шуршит по маленьку. Или это скорее всего в zabbix дыра и через нее пролезло?

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

>> Этого достаточно, для переустановки? То есть шаблоны, узлы сети после переустановки из базы подтянутся?

 

Да, он всё в базе хранит. Если есть какие-то юзерскрипты для уведомлений или проверок - обязательно проверьте их сперва и только потом уже тоже в резервную копию.

 

И как обычно - посмотрите, когда майнер активизировался и смотрите все логи перед этим, может чего бросится в глаза. Хотя они не сразу активизируются обычно.

Изменено пользователем Kolunchik

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, sherwood сказал:

Или это скорее всего в zabbix дыра и через нее пролезло?

Или живность в вашей сети и пролезло изнутри.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Можно к нагружающему CPU процессу на несколько секунд подключиться strace'ом и посмотреть, чем он занят.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Извиняюсь, это действительно взлом.

 Monero Miner Malware – Muhsti 

 

P.S. Извините, здесь на форуме не работает сброс форматирования текста.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

10 часов назад, Ilya Evseev сказал:

Можно к нагружающему CPU процессу на несколько секунд подключиться strace'ом и посмотреть, чем он занят.

Наверное можно, но я пока не очень в этом силен.

 

5 часов назад, vlad11 сказал:

Извиняюсь, это действительно взлом.

Круто. И этот ПК не открыт в мир. Не особе верится, что в локальной сети кто то мог этим заниматься. А если это прилетело с зараженного ПК то на сколько мне известно в сети нет машин по линуксом, хотя наверное это не важно. Как то думалось, что этого не будет (не винда же) так как на этом ПК не работают, то есть не серфят инет, не качают разные файлы. На нем правда стоит еще видео-каталог на который по веб заходят из локалки и скачивают контент.

Ну ладно, пробую пока на виртуалку поставить и имортировать базу, но что то не совсем проходит гладко, а именно файл базы получается примерно 2ГБ, файл php.ini я поправил. При импорте примерно минут 5 - предупреждение об остановки по тайм-ауту но можно продолжить импорт выбрав тот же файл. После нескольких попыток сообщение не пропадает, но вроде все таблицы импортировались. Пробую зайти по веб, открывается окно приветствия zabbix но при вводе учетных данных ошибка - не верный логин или пароль. Пробовал учетные данные и он новой и от старой учетки, так же и данные по умолчанию. Думаю перенести данные экспортом из зараженного zabbix в новый, узлов не так много. Потом буду удалять zabbix на зараженном ПК. Хотелось бы верить что он только файлы zabbix заразил, а не других сервисов.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

он систему покоцал. причем залез вероятно через дырку в заббикс web.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

1 час назад, sherwood сказал:

Не особе верится, что в локальной сети кто то мог этим заниматься.

Вы последние 10 лет в гибернации были?

Технологии и подходы не стоят на месте, они развиваются.

Проникновение в лоб через файрвол сейчас возможно только если файрвол забыли включить или правильно настроить — это как бы очевидная мысль. И столь же очевиден вывод — вредоносное ПО будет распространятся через промежуточных носителей в виде офисных десктопов или смартфонов, на которых оно себя может никак не проявлять.

И такой подход используется уже не первый год. А уж после недавних эпидемий с заражением роутеров изнутри это просто всем должно быть очевидно.

 

P.S. Проверяйте свою сеть. У вас за периметром живность завелась.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Да, есть такая дырка в забиксе - хакается легко и просто через веб. Идет подмена в настройках через веб на путь к ping (в него ставится curl на скачку и выполнение). Залезает через клиента на винде который имеет доступ к настройкам заббикса

Изменено пользователем alexmern

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

7 часов назад, alexmern сказал:

Залезает через клиента на винде который имеет доступ к настройкам заббикса

Интересненко. На вин 7 с которого и происходит заход стоит касперский тотал, со всеми обновлениями, доступ к этому ПК имею только я. Другие ПК в сети думаю и не знают о существование данного ресурса. Но даже если предположить что кто то узнал, то доступа нет, пароль стойкий к взлому. Буду удалять zabbix с этой машины (главное что бы этот вирь не затронул другие сервисы). На этом ПК стоит vnc server (удаленный доступ), но там длинный и сложный пароль, изменен стандартный порт. Есть ли случаи взлома vnc?

 

P.S.

Без доступа в мир эта зараза не активна. Похоже на бота для зарабатывания криптовалют.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Отсчет:

Остановил сервис, удалил zabbix, базу. Процес попрежнему появляется, удалил пользователя zabbix и все затихло. Полез ручками посмотреть какие остались хвосты и вижу эту заразу:

 

Snymok_ekrana_2018_06_05_v_17_26_33_500.i.gif

 

Может кому будет полезным. Думаю если сразу знать где лежит то и вылечить было бы просто.

Поделиться сообщением


Ссылка на сообщение
Поделиться на других сайтах

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Гость
Ответить в тему...

×   Вставлено в виде отформатированного текста.   Вставить в виде обычного текста

  Разрешено не более 75 смайлов.

×   Ваша ссылка была автоматически встроена.   Отобразить как ссылку

×   Ваш предыдущий контент был восстановлен.   Очистить редактор

×   Вы не можете вставить изображения напрямую. Загрузите или вставьте изображения по ссылке.