* * *
Benvenuto! Effettua l'accesso oppure registrati.
17 Gennaio 2021, 14:25:26

Inserisci il nome utente, la password e la durata della sessione.

Links

ads

Benvenuto


Benvenuto su la Community CentOS-Italia.Org

La Community Italiana di Linux CentOS e' lieta di averti tra noi , CentOS-Italia.Org e' un risorsa di guide e forum dal principiante al sistemista senior.
Clicca qua per registrati ora

La registrazione e' gratuita e ti consente di avere pieno accesso alle risorse di CentOS-Italia.org , come uso della ricerca avanzata , le funzioni interattive del portale e visualizzare i links nei post.
Gli utenti registrati non visualizzano gli ads, quindi registrati subito se non l'hai gia fatto.

Lo staff di CentOS-Italia.Org cerca di rendere la community un posto piacevole e il piu' produttivo possibile, invitiamo quindi i nuovi utenti a leggere le regole base.
Per info o problemi di registrazione scrivere a centos (at) centos-italia.org .

Autore Topic: Aumento costante processi ssh  (Letto 3873 volte)

Offline tinx

  • Newbie
  • *
  • Post: 22
    • Mostra profilo
    • E-mail
Aumento costante processi ssh
« il: 15 Ottobre 2010, 10:51:09 »
Salve ragazzi,

ho un server Web in lavoro da un'annetto circa che adesso va in palla in una giornata di lavoro a causa della ram totalmente occupata!
Analizzando bene il sistema vedo un costante aumento dei processi sshd, dopo un'ora sono circa 80 e arrivano ad essere circa 800/900 quando la macchina consuma tutti e 2 gb ram assegnata da OpenVZ (la macchina CentOS virtualizzata con OpenVZ)


Con il comando pkill taglio tutti i processi liberando la ram, ma puntualmente si ripresentano.
Dai log security non emergono grandi cose... comunque se volete posto i log che possono tornare utili.

Che soluzione pu esserci?

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1390
    • Mostra profilo
    • Traversate dei laghi
Re: Aumento costante processi ssh
« Risposta #1 il: 15 Ottobre 2010, 10:55:56 »
Ma "aperto" ad accessi dall'esterno?
Da dove arrivano le connessioni ssh?
Un

last

che utenti visualizza?

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: Aumento costante processi ssh
« Risposta #2 il: 15 Ottobre 2010, 11:18:21 »
Ciao, direi che sei sotto attacco :-)
Per prima cosa puoi installare fail2ban un servizio che server a bannare (bloccare) gli ip  per un certo periodo di tempo di tutti questi sistemi che provano pi di 4 volte al secondo l'accesso ssh al tuo sistema.
Puoi inoltre decidere se loggare il tentativo di autenticazione via iptables.
Inoltre ti consiglierei di verificare se hai attivato dentro sysctl.conf le configurazioni opportune ad evitare sync flooding . Da quello che dici sembra che arrivino richieste di ssh che poi non vengono finalizzate, infatti in /var/log/secure non trovi nulla. Potrebbe essere un attacco di questo tipo. Purtroppo difficile capire a distanza e senza avere accesso alla macchina. Potresti installare uno sniffer tipo wireshark e analizzarti il traffico per qualche ora.
Ad ogni modo fail2ban e net.ipv4.tcp_syncookies = 1 e net.ipv4.tcp_fin_timeout=10 in sysctl.conf dovrebbe risolverti il problema.

Facci sapere
Ciao

Offline tinx

  • Newbie
  • *
  • Post: 22
    • Mostra profilo
    • E-mail
Re: Aumento costante processi ssh
« Risposta #3 il: 15 Ottobre 2010, 11:23:13 »
Ma "aperto" ad accessi dall'esterno?
Da dove arrivano le connessioni ssh?
Un

last

che utenti visualizza?

Allora la macchina stata accesa 1 ora fa, questi sono gli accessi di oggi:

Codice: [Seleziona]
root     pts/0        192.168.0.100    Fri Oct 15 10:23   still logged in
runlevel (to lvl 3)   2.6.32-4-pve     Fri Oct 15 10:23 - 11:15  (00:52)
reboot   system boot  2.6.32-4-pve     Fri Oct 15 10:23          (00:52)
shutdown system down  2.6.32-4-pve     Fri Oct 15 10:22 - 11:15  (00:52)
runlevel (to lvl 0)   2.6.32-4-pve     Fri Oct 15 10:22 - 10:22  (00:00)
root     pts/0        192.168.0.100    Fri Oct 15 10:11 - 10:19  (00:08)
root     pts/0        192.168.0.100    Fri Oct 15 09:43 - 10:10  (00:26)
runlevel (to lvl 3)   2.6.32-4-pve     Fri Oct 15 09:30 - 10:22  (00:52)
reboot   system boot  2.6.32-4-pve     Fri Oct 15 09:30          (00:52)

Al momento la macchina ha un firewall draytek che blocca in entrata tcp e udp tutte le porte tranne la 80.
Non ho accesso dall'esterno alla porta 22 di ssh su questa macchina (accedo dall'esterno tramite ssh/nomachine da altra macchina che mi fa da console per tutte le atre e questa non ha alcun problema)
« Ultima modifica: 15 Ottobre 2010, 11:25:41 di tinx »

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1390
    • Mostra profilo
    • Traversate dei laghi
Re: Aumento costante processi ssh
« Risposta #4 il: 15 Ottobre 2010, 11:27:54 »
Aspetta ancora un po' e ripeti last quando vedi salire le connessioni, in modo da cercare di capire da dove arrivano.
mi sembra strano che dall'esterno tentino connessioni ssh sulla porta 80.

Poi fai quel che ti ha scritto dankan cos eviti che ti si impalli la macchina.

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: Aumento costante processi ssh
« Risposta #5 il: 15 Ottobre 2010, 11:32:36 »
L'unico modo di capire cosa succede e dumpare il traffico ssh oppure effettuare uno stack trace dei processi sshd.
Se sshd ha quel regime di crescita e le richieste non arrivano da fuori.... magari arrivano da altri sistemi sulla stessa lan. Ti consiglio di controllare.

CIiao

Offline tinx

  • Newbie
  • *
  • Post: 22
    • Mostra profilo
    • E-mail
Re: Aumento costante processi ssh
« Risposta #6 il: 15 Ottobre 2010, 11:41:22 »
L'unico modo di capire cosa succede e dumpare il traffico ssh oppure effettuare uno stack trace dei processi sshd.
Se sshd ha quel regime di crescita e le richieste non arrivano da fuori.... magari arrivano da altri sistemi sulla stessa lan. Ti consiglio di controllare.

CIiao
Provo a verificare, anche secondo me il sospetto che provenga dalla lan...

Offline tinx

  • Newbie
  • *
  • Post: 22
    • Mostra profilo
    • E-mail
Re: Aumento costante processi ssh
« Risposta #7 il: 15 Ottobre 2010, 12:07:16 »
mmm....

la cosa strana, chiedo ...potrebbe essere che la macchina non riceva ma faccia sessioni ssh verso l'esterno? chiedo perch visualizzando le sessioni nat in uscita dal router tale macchina aveva attivo circa 600 sessioni a vari indirizzi ip esterni! Bloccando da firewall anche l'uscita della macchina all'esterno queste sessioni si sono quasi azzerate.....

Ovviamente pur non uscendo all'esterno i processi ssh stanno sempre aumentando (hanno gi passato 100)
« Ultima modifica: 15 Ottobre 2010, 12:12:49 di tinx »

Offline LonelyWolf

  • Moderator
  • Hero Member
  • *****
  • Post: 1390
    • Mostra profilo
    • Traversate dei laghi
Re: Aumento costante processi ssh
« Risposta #8 il: 15 Ottobre 2010, 12:44:38 »
E' tutto possibile, ad esempio, chi ha accesso alla amcchina e potrebbe impostare uno script?

Che pacchetti ha installato?

Offline tinx

  • Newbie
  • *
  • Post: 22
    • Mostra profilo
    • E-mail
Re: Aumento costante processi ssh
« Risposta #9 il: 15 Ottobre 2010, 14:45:12 »
Ho accesso unico alla macchina visto che per uso personale, la utilizzo per servizi di WebMail.
Ho controllato per script possibili ma nelle crontab non programmato nulla.

Ho provato a fermare i servizi che ho installato; mysql, php, apache, proftp ma le sessioni ssh aumentano...

« Ultima modifica: 15 Ottobre 2010, 14:48:45 di tinx »

Offline dankan77

  • Moderator
  • Hero Member
  • *****
  • Post: 1365
    • Mostra profilo
    • E-mail
Re: Aumento costante processi ssh
« Risposta #10 il: 15 Ottobre 2010, 16:36:52 »
Prova a verificare se ci sono processi strani che girano. (ps -ef) (pstree)
Inoltre installa chkrootkit e rkhunter e verifica se per caso stato installato un rootkit sul server.
Cmq puoi verificare da quale pid partono le connessioni usando lsof e netstat.

Ciao

Offline jerg

  • Full Member
  • ***
  • Post: 99
    • Mostra profilo
    • E-mail
Re: Aumento costante processi ssh
« Risposta #11 il: 20 Agosto 2011, 20:54:00 »

 

Notizie

Per problemi di registrazione scrivere a centos (at) centos-italia (dot) org

Collegamenti

Posts Recenti

Utenti
  • Utenti in totale: 6281
  • Ultimo: mrvibes
Statistiche
  • Post in totale: 13151
  • Topic in totale: 2960
  • Online Oggi: 262
  • Massimi online: 9639
  • (14 Gennaio 2020, 10:20:21)
Utenti Online
Utenti: 0
Visitatori: 215
Totale: 215

Permessi

-no content-

ShoutBox!

Ultimo 5 Shout:

fzphoto

19 Febbraio 2018, 09:18:24
Ciao a tutti. Ho installato l'ultima versione di centos 7 per poter lavorare comodamente con DaVinci resolve 14. Solo che non riesco, ne a installare il programma Davinci, ne tanto meno, il driver nvidia per la scheda grafica geoforce 1080 ti. Sul web non trovo niente che mi aiuti. Premetto che sono

aner64

07 Febbraio 2018, 11:21:40
Buongiorno. Ho installato l'ultima versione di CENTOS7 aggiornata alla 7.0.4.1708. Ho bisogno di fare un restore di file da un filesystem reiserfs. CENTOS7 non ha reiserfs tra i FS e bisogna installarlo. Quando di cerca di installare kmod-reiserfs-0.0-2.el7.elrepo.x86_64.rpm escono errori per mancan
 

LonelyWolf

28 Dicembre 2017, 08:37:34
da ieri non vedo pi il css solo un problema mio?

trattore

28 Settembre 2015, 03:30:48
ma qui non c' mai nessuno
 ;)

ivo

26 Agosto 2015, 16:01:14
Ho configurato il DHCP creato il file /etc/dhcpd.conf con il seguente contenuto
-------------------------------------------------------------------------------
ddns-update-style interim;
ignore client-updates;

authoritative;

subnet 172.16.208.96 netmask 255.255.255.240 {
    option routers      

Mostra ultimi 50