Mega_88 0 Zgłoś post Napisano Czerwiec 21, 2017 (edytowany) Cześć, może mi ktoś tak po Polsku wytłumaczyć o co chodzi oraz czy coś powinienem z tym zrobić. Uruchomiłem sobie raporty z ConfigServer Firewall&Security i nie wiem teraz mam coś zmieniać w konfiguracji serwera czy po prostu się tym nie przejmować bo nie ma to większego znaczenia. Całych raportów nie wklejam chyba, że będą potrzebne to mogę udostępnić. 1 raport (tego jest dość sporo, szczególnie od jednego usera): Typ A: Time: Wed Jun 21 12:38:01 2017 +0200 Account: NAZWA_USERA Resource: Virtual Memory Size Exceeded: 270 > 256 (MB) Executable: /usr/local/php56/sbin/php-fpm56 Command Line: php-fpm: pool NAZWA_USERA PID: 25940 (Parent PID:3976) Killed: No Typ B: Time: Wed Jun 21 12:42:02 2017 +0200 Account: NAZWA_USERA Resource: Process Time Exceeded: 20502 > 1800 (seconds) Executable: /usr/bin/perl Command Line: spamd child PID: 2997 (Parent PID:8021) Killed: No 2 raport: Typ A: Time: Wed Jun 21 11:48:53 2017 +0200 PID: 19700 (Parent PID:3976) Account: NAZWA_USERA Uptime: 108 seconds Executable: /usr/local/php56/sbin/php-fpm56 Command Line (often faked in exploits): php-fpm: pool NAZWA_USERA ... Typ B: Time: Wed Jun 21 11:38:52 2017 +0200 PID: 28655 (Parent PID:1855) Account: dovecot Uptime: 7277 seconds Executable: /usr/libexec/dovecot/managesieve-login Command Line (often faked in exploits): dovecot/managesieve-login ... Edytowano Czerwiec 21, 2017 przez Mega_88 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Fizyda 34 Zgłoś post Napisano Czerwiec 21, 2017 Na wstępie powiem że jestem laikiem, używam CSF i LFD, ale moja wiedza w tym temacie jest bliska zeru, to co napiszę to to czego się dowiedziałem podczas pracy z tym firewallem i co wyczytałem w sieci. Mogłem czegoś nie doczytać, coś źle zrozumieć lub zinterpretować. Są to informacje o tym co zjada jakieś zasoby serwera, lub jest długo uruchomione - są to rzeczy które potencjalnie mogą być jakimś np szkodliwym skryptem. Można w ten sposób wykryć że przejęto php i coś grzebie w systemie. Np. utworzył sobie osobną pulę, z większymi uprawnieniami. Dopytywałem o to na tym forum, więcej przeczytasz w tych tematach: http://www.webhostingtalk.pl/topic/54831-lfd-konfiguracja-powiadomien/ http://www.webhostingtalk.pl/topic/54853-lfd-whitelistowanie-procesow-z-glowa/ Jak będziesz miał po tym jakieś jeszcze pytania napisz może będę umiał pomóc. Udostępnij ten post Link to postu Udostępnij na innych stronach
Mega_88 0 Zgłoś post Napisano Czerwiec 21, 2017 (edytowany) Dzięki za odpowiedź, no właśnie mniej więcej rozumiem że coś zjada więcej zasobów niż jest ustawiony limit lub działa za długo i dlatego sypie raportem. Bardziej chciałem się dowiedzieć czy powinienem coś z tym robić, poddać większej analizie bo coś tam siedzi czy po prostu tak jak było w jednym z tematów, które podesłałeś ustawić wyjątek dla np: takiego raportu (od jednego usera jest najwięcej, jakieś 70% (joomla): Raport: Excessive resource usage: NAZWA_USERA (27396 (Parent PID:3976)) Time: Wed Jun 21 13:05:05 2017 +0200 Account: NAZWA_USERA Resource: Virtual Memory Size Exceeded: 266 > 256 (MB) Executable: /usr/local/php56/sbin/php-fpm56 Command Line: php-fpm: pool NAZWA_USERA PID: 22693 (Parent PID:3976) Killed: No Raport: Suspicious process running under user NAZWA_USERA Time: Wed Jun 21 13:02:04 2017 +0200 PID: 13644 (Parent PID:3976) Account: NAZWA_USERA Uptime: 116 seconds Executable: /usr/local/php56/sbin/php-fpm56 Command Line (often faked in exploits): php-fpm: pool NAZWA_USERA Network connections by the process (if any): tcp: IP_SERWERA:PORT -> IP_POŁĄCZENIA:80 Files open by the process (if any): /dev/null /dev/null /tmp/ZCUD14Vf2f (deleted) /tmp/temp .... Edytowano Czerwiec 21, 2017 przez Mega_88 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Fizyda 34 Zgłoś post Napisano Czerwiec 21, 2017 LFD z tego co zauważyłem większość rzeczy traktuje jak zło, jak coś dodajesz na serwer, jakąś usługę to musisz mu powiedzieć że to tak ma być przez jej whitelistowanie - ja to tak rozumiem. LFD ma krzyczeć w momencie gdy coś dzieje się nietypowego na serwerze czego nie powinno być. Jak zrobisz upgrade to też Ci zakrzyczy że mu się md5sum nie zgadza dla plików. Nawet jak sam csf się zaktualizuje to masz informacje z crona o tym fakcie a potem z LFD że pliki były modyfikowane. Udostępnij ten post Link to postu Udostępnij na innych stronach
Vasthi 74 Zgłoś post Napisano Czerwiec 21, 2017 (edytowany) Edytowano Marzec 26, 2018 przez Vasthi (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Fizyda 34 Zgłoś post Napisano Czerwiec 21, 2017 (edytowany) @Vasthi ja bym nie whitelistował od razu całego phpa ale konkretną pulę dla konkretnego użytkownika. Czyli cmd:php-fpm: pool NAZWA_USERA EDIT: Różnica jest taka że jak zostanie dodany nowa pula bez Twojej wiedzy masz o tym informacje, a jak whitelistujesz całego phpa już nie. Edytowano Czerwiec 21, 2017 przez Fizyda (zobacz historię edycji) 1 Udostępnij ten post Link to postu Udostępnij na innych stronach
Mega_88 0 Zgłoś post Napisano Czerwiec 21, 2017 Cześć, dziękuje za obecne odpowiedzi. Czyli jak większość raportów: Excessive resource usage: NAZWA_USERA (10958 (Parent PID:3976)) jest od jednego użytkownika tego typu: Time: Thu Jun 22 00:13:05 2017 +0200 Account: NAZWA_USERA Resource: Virtual Memory Size Exceeded: 261 > 256 (MB) Executable: /usr/local/php56/sbin/php-fpm56 Command Line: php-fpm: pool NAZWA_USERA PID: 10958 (Parent PID:3976) Killed: No To w /etc/csf/csf.pignore dodać na końcu: cmd:php-fpm: pool NAZWA_USERA i nie kombinować z powiększaniem dla niego limitu lub ustaleniem co pobiera taką ilość pamięci bo joomla tak ma i tyle, a sam proces nie jest jakoś szczególnie niebezpieczny ? Wcześniej miałem z tą stroną problemy - wysyłka spamu, ale już chyba opanowane bo od długiego czasu nic się nie działo. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Kamikadze Zgłoś post Napisano Czerwiec 22, 2017 W CSF masz włączone sprawdzanie ile dany user używa pamięci i przeez to masz takie komunikaty. Udostępnij ten post Link to postu Udostępnij na innych stronach
Fizyda 34 Zgłoś post Napisano Czerwiec 22, 2017 Dokładnie w CSF możesz ustalić limity po przekroczeniu których ma wysyłać powiadomienia. To nie joomla tyle zjada a cały php. To ile php zużywa zasobów dla poszczególnej strony może sugerować o jakiś włamaniu na stronę czy o tym że w skrypcie jest jakiś robak, ale może też świadczyć o zwiększonym ruchu na stronie, dlatego moim zdaniem podnoszenie limitów to słaby pomysł, nawet jeśli dałoby się je podnieść dla konkretnej puli php'a. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Kamikadze Zgłoś post Napisano Czerwiec 22, 2017 Dokładnie w CSF możesz ustalić limity po przekroczeniu których ma wysyłać powiadomienia. To nie joomla tyle zjada a cały php. To ile php zużywa zasobów dla poszczególnej strony może sugerować o jakiś włamaniu na stronę czy o tym że w skrypcie jest jakiś robak, ale może też świadczyć o zwiększonym ruchu na stronie, dlatego moim zdaniem podnoszenie limitów to słaby pomysł, nawet jeśli dałoby się je podnieść dla konkretnej puli php'a. PHP danego użytkownika. Ma tryb fpm odpalony. Udostępnij ten post Link to postu Udostępnij na innych stronach
Fizyda 34 Zgłoś post Napisano Czerwiec 22, 2017 PHP danego użytkownika. Ma tryb fpm odpalony. Czyli jeżeli na jednym użytkownik odpalę osobne pule php dla każdej strony osobno to lfd będzie zliczał obie? Pomijając fakt że to głupie - pytam aby wiedzieć jak to działa. Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Kamikadze Zgłoś post Napisano Czerwiec 22, 2017 PT_USERMEM (opcja w csf) This User Process Tracking option sends an alert if any user process exceedsthe virtual memory usage set (MB). To ignore specific processes or users usecsf.pignoreSet to 0 to disable this feature Konfiguracja fpm zależy. Na jednym serwerze mam procesy fpm per user a na inny pula procesów jest per strona/domena. Udostępnij ten post Link to postu Udostępnij na innych stronach
Mega_88 0 Zgłoś post Napisano Czerwiec 22, 2017 (edytowany) Wydaje mi się, że w moim przypadku i tego konkretnego użytkownika to właśnie sama strona generuje takie zużycie, bo nawet jak sam na nią wejdę i lekko poskaczę to od razu dostaję raport (ale nie wiem czy to właśnie na takiej podstawie są generowane). W jakiś logach będzie można ustalić co konkretnie zjada zasoby czy to po prostu ogólna informacja - php i tyle ? Jeszcze pytanie o taki raport, co on oznacza ? Przyznam, że średnio mi się podoba nazwa "managesieve-login" i lekko mi śmierdzi Time: Thu Jun 22 11:05:16 2017 +0200 Account: dovecot Resource: Process Time Exceeded: 90514 > 1800 (seconds) Executable: /usr/libexec/dovecot/managesieve-login Command Line: dovecot/managesieve-login PID: 4002 (Parent PID:1855) Killed: No Edytowano Czerwiec 22, 2017 przez Mega_88 (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Gość Kamikadze Zgłoś post Napisano Czerwiec 22, 2017 sprawdź proces który objada ci zasoby i spisz jego pid. Następnie np. strace -p pid sprawdź. managesieve to m.in. filtry do roundcube itp. Możesz to wyłączyć sobie dla dovecota / exima zależnie jak masz configi porobione. Udostępnij ten post Link to postu Udostępnij na innych stronach
