habe 4 users auf rootebene und jetzt ...?

abi201 · 12. Mai 2006

Habe seit einiger Zeit dieverse unerklärliche laggs die entstehen , und vor 2 minuten habe ich 4 users auf dem root entdeckt und weiss net was ich machen soll !
Das rootpasswort habe ich schon gewechselt . und habe 93 Prozesse wovon 91 im sleeping sind !

Sind soviele Prozesse normal und kann ich irgendetwas für das Verbessern der auftretenden laggs und gegen diese users unternehmen !

PS: auf dem Server laufen ein Ventrilo , ein CSS server , und die Homepage mit den HlstatsX für den CSS server !

Danke im vorraus

» blade · 12. Mai 2006

poste ma bitte den reply von ps uax

ich nehm nämlich stark an, dass deine Homepage bissl besser besucht ist und dadurch viele prozesse durch die zugriffe auf die db usw hast.

abi201 · 12. Mai 2006

habe Server4you angerufen und irgendwie sind die user nun weg , aber poste es trotzdem , brauche auch hilfe wegen der Leistung des Servers !

Danke im vorraus !!!

da ich keine txt dateien laden kann , weil es verboten ist poste ich es so hier rein ...

Code

USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0    684   252 ?        S    May09   0:01 init [3]
root         2  0.0  0.0      0     0 ?        S    May09   0:00 [migration/0]
root         3  0.0  0.0      0     0 ?        SN   May09   0:09 [ksoftirqd/0]
root         4  0.0  0.0      0     0 ?        S<   May09   0:00 [events/0]
root         5  0.0  0.0      0     0 ?        S<   May09   0:00 [khelper]
root         6  0.0  0.0      0     0 ?        S<   May09   0:00 [kthread]
root         8  0.0  0.0      0     0 ?        S<   May09   0:00 [kblockd/0]
root        57  0.0  0.0      0     0 ?        S    May09   0:00 [pdflush]
root        58  0.0  0.0      0     0 ?        S    May09   0:01 [pdflush]
root        60  0.0  0.0      0     0 ?        S<   May09   0:00 [aio/0]
root        59  0.0  0.0      0     0 ?        S    May09   0:00 [kswapd0]
root       269  0.0  0.0      0     0 ?        S<   May09   0:00 [kseriod]
root       466  0.0  0.0      0     0 ?        S<   May09   0:00 [ata/0]
root       473  0.0  0.0      0     0 ?        S<   May09   0:00 [scsi_eh_0]
root       474  0.0  0.0      0     0 ?        S<   May09   0:00 [scsi_eh_1]
root       657  0.0  0.0      0     0 ?        S<   May09   0:37 [md0_raid1]
root       665  0.0  0.0      0     0 ?        S    May09   0:09 [kjournald]
root      1118  0.0  0.0   1464   516 ?        S<s  May09   0:00 /sbin/udevd -d
root      1621  0.0  0.0      0     0 ?        S<   May09   0:00 [khubd]
root      1848  0.0  0.0   1464   440 ?        S<   May09   0:00 [hwscand]
root      2686  0.0  0.0   1464   440 ?        S<   May09   0:00 [hwscand]
root      3189  0.0  0.0   2076  1036 ?        S    May09   0:10 /sbin/mdadm -F -d 60 -m root@localhost -s -c /etc/mdadm.conf
root      3201  0.0  0.0   1504   448 ?        Ss   May09   0:00 /sbin/startpar -f -- mdadmd
root      3206  0.0  0.0   1496   268 ?        Ss   May09   0:00 /sbin/resmgrd
root      3452  0.0  0.0   1532   592 ?        Ss   May09   0:01 /sbin/syslogd -a /var/lib/named/dev/log -a /var/lib/ntp/dev/log
root      3457  0.0  0.0   1608   508 ?        Ss   May09   0:00 /sbin/klogd -c 1 -x -x
root      3488  0.0  0.0   4472  1252 ?        Ss   May09   0:00 /usr/sbin/saslauthd -a shadow
root      3508  0.0  0.0   4604  1204 ?        Ss   May09   0:02 /usr/sbin/sshd -o PidFile=/var/run/sshd.init.pid
root      3512  0.0  0.0   1464   372 ?        S    May09   0:00 /usr/sbin/courierlogger -pid=/var/run/authdaemon.courier-imap/pid -start /usr/lib/courier-im
root      3520  0.0  0.0   4472  1236 ?        S    May09   0:00 /usr/sbin/saslauthd -a shadow
root      3521  0.0  0.0   4472  1236 ?        S    May09   0:00 /usr/sbin/saslauthd -a shadow
root      3522  0.0  0.0   4472  1236 ?        S    May09   0:00 /usr/sbin/saslauthd -a shadow
root      3523  0.0  0.0   4472  1236 ?        S    May09   0:00 /usr/sbin/saslauthd -a shadow
root      3531  0.0  0.0   1776   500 ?        S    May09   0:00 /usr/lib/courier-imap/authlib/authdaemond.plain
root      3535  0.0  0.0   2444  1144 ?        S    May09   0:00 /bin/sh /usr/bin/mysqld_safe --user=mysql --pid-file=/var/lib/mysql/mysqld.pid --socket=/var
root      3537  0.0  0.0   2184   644 ?        S    May09   0:00 /usr/lib/courier-imap/authlib/authdaemond.plain
root      3538  0.0  0.0   2184   644 ?        S    May09   0:00 /usr/lib/courier-imap/authlib/authdaemond.plain
root      3539  0.0  0.0   2184   644 ?        S    May09   0:00 /usr/lib/courier-imap/authlib/authdaemond.plain
root      3540  0.0  0.0   2184   640 ?        S    May09   0:00 /usr/lib/courier-imap/authlib/authdaemond.plain
root      3541  0.0  0.0   2184   640 ?        S    May09   0:00 /usr/lib/courier-imap/authlib/authdaemond.plain
root      3554  0.0  0.0   1560   468 ?        S    May09   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrlo
root      3580  0.0  0.0   1468   436 ?        S    May09   0:00 /usr/sbin/courierlogger imapd
mysql     3608  0.4  1.3 121340 27424 ?        Sl   May09  25:45 /usr/sbin/mysqld-max --basedir=/usr --datadir=/var/lib/mysql --user=mysql --pid-file=/var/li
root      3670  0.0  0.5  31236 10940 ?        Ss   May09   0:01 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
root      3671  0.0  0.0   3280  1468 ?        S    May09   0:08 /usr/bin/perl /usr/local/confixx/pipelog.pl
root      3772  0.0  0.0   1556   448 ?        S    May09   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrlo
root      3774  0.0  0.0   1556   464 ?        S    May09   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrlo
root      3776  0.0  0.0   1468   436 ?        S    May09   0:00 /usr/sbin/courierlogger pop3d
root      3789  0.0  0.0   1560   452 ?        S    May09   0:00 /usr/lib/courier-imap/couriertcpd -address=0 -stderrlogger=/usr/sbin/courierlogger -stderrlo
root      3796  0.0  0.0   1336   296 ?        S    May09   0:00 /usr/sbin/courierlogger imapd-ssl
root      3800  0.0  0.0   1336   292 ?        S    May09   0:00 /usr/sbin/courierlogger pop3d-ssl
root      3826  0.0  0.0   2292   816 ?        Ss   May09   0:00 /usr/sbin/xinetd
root      3835  0.0  0.0  12844  1132 ?        Ssl  May09   0:06 /usr/sbin/nscd
root      3896  0.0  0.0   4740  1460 ?        Ss   May09   0:02 /usr/lib/postfix/master
postfix   3909  0.0  0.0   4776  1464 ?        S    May09   0:00 qmgr -l -t fifo -u
root      3917  0.0  0.0   1752   512 ?        Ss   May09   0:00 /usr/sbin/cron
root      3923  0.0  0.0   1908   632 tty1     Ss+  May09   0:00 /sbin/mingetty --noclear tty1
root      3924  0.0  0.0   1912   636 tty2     Ss+  May09   0:00 /sbin/mingetty tty2
root      3925  0.0  0.0   1908   632 tty3     Ss+  May09   0:00 /sbin/mingetty tty3
root      3926  0.0  0.0   1908   632 tty4     Ss+  May09   0:00 /sbin/mingetty tty4
root      3927  0.0  0.0   1908   632 tty5     Ss+  May09   0:00 /sbin/mingetty tty5
root      3928  0.0  0.0   1908   632 tty6     Ss+  May09   0:00 /sbin/mingetty tty6
postfix   5184  0.0  0.0   4744  1440 ?        S    May09   0:00 tlsmgr -l -t unix -u
root      6974  0.1  0.4  12468  9564 ?        S    May09   5:14 /usr/bin/perl ./hlstats.pl
root      7326  0.0  0.0   2704  1276 ?        S    May09   0:00 /bin/sh ./srcds_run -game cstrike -maxplayers 10 -port 27010 +map de_dust2 -tickrate 100
root      7339  2.7  8.1 240784 166620 ?       Sl   May09 132:32 ./srcds_amd -game cstrike -maxplayers 10 -port 27010 +map de_dust2 -tickrate 100
root     16359  0.0  0.1   4252  2156 ?        S    May09   4:06 ventrilo_srv
wwwrun   12279  0.0  0.6  35908 13784 ?        S    02:04   0:08 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun   18223  0.0  0.6  35444 13424 ?        S    15:04   0:15 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun   18244  0.0  0.6  35712 13444 ?        S    15:06   0:03 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun   19075  0.0  0.5  34328 11932 ?        S    16:49   0:01 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun   19151  0.0  0.5  34200 11556 ?        S    16:57   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun   19361  0.0  0.5  33188 10632 ?        S    17:19   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun   19587  0.0  0.6  34452 12256 ?        S    17:42   0:05 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
root     19637  0.0  0.0   2952   916 ?        Ss   17:44   0:00 SCREEN -A -m -d -S clan ./srcds_run -game cstrike +map de_tides +maxplayers 24 +port 27015 -
root     19638  0.0  0.0   2704  1284 pts/0    Ss+  17:44   0:00 /bin/sh ./srcds_run -game cstrike +map de_tides +maxplayers 24 +port 27015 -tickrate 100 +ip
root     19651 11.3  4.4 165468 91568 pts/0    Sl+  17:44  17:59 ./srcds_amd -game cstrike +map de_tides +maxplayers 24 +port 27015 -tickrate 100 +ip 85.25.2
wwwrun   20360  0.0  0.2  31368  4756 ?        S    19:27   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
postfix  20493  0.0  0.0   4744  1416 ?        S    19:45   0:00 pickup -l -t fifo -u
wwwrun   20726  0.0  0.4  32536  9204 ?        S    20:17   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
postfix  20742  0.0  0.0   4744  1748 ?        S    20:18   0:00 trivial-rewrite -n rewrite -t unix -u
postfix  20774  0.0  0.0   4916  1832 ?        S    20:22   0:00 cleanup -z -t unix -u
postfix  20775  0.0  0.0   4800  1760 ?        S    20:22   0:00 local -t unix
root     20776  0.1  0.1   8280  2372 ?        Ss   20:22   0:00 sshd: root@pts/5
root     20779  0.5  0.0   3180  1776 pts/5    Ss   20:22   0:00 -bash
wwwrun   20800  0.0  0.2  31368  4744 ?        S    20:22   0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
root     20906  0.0  0.0   2724   816 pts/5    R+   20:23   0:00 ps uax

Alles anzeigen

Dyno-Mize · 13. Mai 2006

Toll!

wäre es natürlich wenn du uns mitteilen würdest wie die 4 user hießen.

Auf Anhieb würde ich hier keinen Prozess finden der nicht reinpasst, jedoch kann sich dieser auch ganz schnell als einer der beiden Apache Prozesse getarnt haben. Das wär dann der um 2017 oder um 2022...

Schau mal mit "chkrootkit" ob eventuell ein rootkit installiert wurde, auf jeden Fall musst du deinen Server plattmachen wenn du dir nicht sicher bist ob eingebrochen wurde!

So, nun ans eingemachte!

Sehe ich es richtig dass du alle Prozesse als root laufen hasst ohne irgendeiner Absicherung? (ja, screen ist keine Sicherung! )

Ich kenn mich mit dem CSserver ja nicht aus, denke aber nicht dass dieser _ROOT_ rechte benötigt.
Die Krönung ist jedoch dass du nichtmal die Ip-Adresse auf dem Screenshot "wegradierst" damit man wenigstens nicht weiß wer du bist.

nein, ich werde jetzt meiner Lust nicht folgen versuchen in deinem Server auf einfachste Weise einzubrechen, will dich aber der Gelegenheit mal fragen ob du denn wirklich Reif bist für einen Rootserver, immerhin ist das ja eine gefährliche Waffe um Angriffe gegen Firmennetze zu begehen...

» blade · 13. Mai 2006

also wie Dyno-Mize schon sagte, wäre es besser, wenn du deine gameserver nicht unter root ausführst... genauso wenig ts2 server oder sonstiges.

außerdem finde ich bei deinen prozessen einträge die auf einen mailserver deuten. brauchst du sowas? ich denke nicht.

außerdem wäre es dann mal schön zu wissen was für ne distri du benutzt und ob du meinst, dass jemand illegal in deinem system ist. fals du letzteres mit ja beantwortest, solltest du neuinstallieren lassen. Sprich deine Distri wieder neu aufspielen lassen (geht im webinterface von S4Y)

abi201 · 13. Mai 2006

Also Dyno , da muss ich Dir absolut recht geben , ich war und bin immernoch nicht reif für ein Root .
Aber da wir ein Clan gegründet haben und mir diese Aufgabe aufgepeppt wurde muss ich irgendwie und mit Hilfe von Usern wie Dich und blade damit klarkommen !

@ blade , Game - Voiceserver unter root - wieso ? -> keine Ahnung ! So wurde es mir erklärt und seit einem Jahr mach ich es so !

Mailserverdeutung weiss ich auch nicht welcher eintrag das ist , haben eine Page und E-Mailadressen für die Member vergeben ! Vielleicht ist dies so zu erklären !

Der eigentliche Grund warum ich mich nun auf den weg mache ist , dass wir Leistungsprobleme ( sprich laggs ) auf dem Gameserver haben und ich keine Ahnung habe wie ich sowas wieder auf vordermann kriegen kann ... habe auch schon alle zusätzlichen Plugins was den Gameserver betrifft deaktiviert bzw gelöscht !

Und nun brauche ich hilfe von Hilfsbereiten - wie ihr es seid !

Hier meine ICQ , falls mir jemand mal richtig unter die arme greifen will und etwas idiotensicherer erklären kann 236088899 ! ! !

Ich danke allen und verbleibe hoffend !

Gruss
aBi

» blade · 14. Mai 2006

also ich würde dir raten alles unnötige erst einmal abzuschalten, dazu müsstest du uns aber erst sagen, welche distribution du benutzt, damit wir dir dann sagen können wie du das abschalten kannst.

Denn ich nehm stark an, dass die laggs durch den apache,mysql und den mailserver entstehen.

Außerdem würde ich nur die gameserver und maximal noch den ts2 server auf dem root laufen lassen. Diese aber dann nicht unter dem benutzer "root". Denn bei einem Exploit im gameserver oder ts2 server, kann ein hacker sich leicht zugang zu deinem root verschaffen und dich ausschließen. Dann kommst du nicht mehr an deinen root und der hacker benutzt diesen als ftp zum verteilen von filmen oder ähnlichem... dies war auch nur nen beispiel. er kann auch etwas anderes machen

Dyno-Mize · 14. Mai 2006

Hallo,

also wie Blade schon gesagt hat würde ich Mysql und Apache entfernen. Ein Mailserver kann zwar für einige Zwecke sehr brauchbar sein (logcheck) jedoch würde ich auf einem Gameserver keine Accounts für die Clanmitglieder anbieten. Hier wäre besser diese Dienste auf einen eigenen VRootserver (um 10 Euro oder billiger) auszulagern.

Ich hab dich mal in meine ICQ Kontaktliste hinzugefügt, dann können wir mal ein paar Details klären...

mfg Martin

abi201 · 15. Mai 2006

Distrubition = ? ... keine Ahnung , wie bekomme ich das raus , erst dann kann ich es Dir sagen !

Apache mysql oder mailserver sprichst du wegen den laggs an , mysql und Mail brauchen wir , allein wegen der HP und den E-Mailpostfächern die ich eingerichtet habe !

Aber zum probieren werde ich die mal abschalten , wenn du mirsagen kannst wie ?!?! Aber erst die Distru , woher erfahre ich sowas ? Ist jane coole sache hier lerne auch die ersten fachbegriffe !

bis denne

Dyno-Mize · 15. Mai 2006

Für den Namen des Systems

Code

uname -a

Um die Dienste zu beenden

Code

/etc/init.d/apache stop

Code

/etc/init.d/mysql stop

Code

/etc/init.d/postfix stop

und bitte poste auch mal die Ausgabe von

Code

df -h

Ich könnte mir leicht vorstellen dass dein Server mitlerweile vollgeloggt ist und du dadurch die Performanceprobleme hast.

mfg Martin

abi201 · 15. Mai 2006

Also dann fange ich mal an , hoffe die Angaben sind richtig

zu uname -a

Linux paris071 2.6.14.3-20051128155143-smp #1 SMP Mon Nov 28 15:51:43 UTC 2005 i 686 athlon i386 GNU/Linux

zu df -h

Filesystem Size Used Avail Use% Mounted on
/dev/md0 112G 31G 76G 30% /
tmpfs 997M 0 997M 0% /dev/shm

kann ich die Dienste die Du aufgelistet hast einfach stoppen und starten , und wenn ich sie gestoppt habe funktionieren dann meine E-Mails , Homepage und die HlstatsX noch ?

Gruss
aBi

Dyno-Mize · 16. Mai 2006

Mit *dienst stop kann man stoppen und mit start kann man wieder starten. In dieser Zeit funkionieren dein Webserver und dein Mailserver dann natürlich auch nicht. Sollte dein Clan tatsächlich so viel Email und Webtraffic haben dass dadurch euer Server in Mitleidenschaft gezogen wird, würde ich euch, so wie schon weiter oben geschrieben, einen Vrootserver um 10 Euro nahelegen.

Martin

abi201 · 17. Mai 2006

Also so wie ich das mitverfolgen kann haben wir nicht so eine hohe Traffic ...

Also ist dann der nächste Schritt den man einleiten sollte den Provider kündigen ? Leider haben wir da direkt einen 2 Jahresvertrag abgeschlossen ... !

Oder kann ich es noch anders optimieren ???

Danke im vorraus ...

Dyno-Mize · 17. Mai 2006

nein, warum solltest du denn deinen aktuellen Server kündigen wenn dort eh alles läuft (schonmal gelaufen ist).

Einfacher wäre das ganze wenn du dich mal in ICQ melden würdest, ich erwarte noch immer die Autorisierung von dir.

Mfg Martin

abi201 · 18. Mai 2006

also täglich eine gewisse Zeit im ocq Online , aber habe keine autorisierunganfrage bekommen ...

hier noch einmal meine ICQ 236088899

bis denne mal , oder schreib mir Deine und ich versuch es mal !

Gruss

habe 4 users auf rootebene und jetzt ...?

Jetzt mitmachen!

Teilen