Interpretar mensagens do LFD e CSF

[PedroHenrique]

Pessoa boa noite.

Estou recebendo cerca de 20 vezes ao dia dois e-mails(sempre chegam juntos) com alertas do lfd para uma conta de hospedagem em meu VPS. Sei que algo esta acontecendo mas não sei identificar. Vejam.

1º email
Suspicious process running under user conta_do_cliente
Time:    Mon Apr 18 19:47:12 2016 -0300
PID:     489 (Parent PID:20599)
Account: conta do cliente
Uptime:  12634 seconds

Executable:

/usr/local/cpanel/3rdparty/perl/514/bin/perl
Command Line (often faked in exploits):

spamd child

Network connections by the process (if any):
tcp: 127.0.0.1:783 -> 0.0.0.0:0
tcp: 127.0.0.1:783 -> 127.0.0.1:44715
udp: xxx.xxx.xxx.xxx:59542 -> 8.8.8.8:53

Files open by the process (if any):

/var/cpanel/locale/en.cdb
/usr/local/cpanel/3rdparty/perl/514/bin/spamd
/dev/null
/dev/null
/dev/null

A mensagem tem mais coisas, mas não coloquei tudo aqui porque a mensagem é longa e contém endereços de memória.

 

2º email

Excessive resource usage: conta_do_cliente (489 (Parent PID:20599))
Time:         Mon Apr 18 19:47:12 2016 -0300
Account:      conta_do_cliente
Resource:     Process Time
Exceeded:     12634 > 1800 (seconds)
Executable:   /usr/local/cpanel/3rdparty/perl/514/bin/perl
Command Line: spamd child
PID:          489 (Parent PID:20599)
Killed:       No

 

[Tasso]

nano /etc/csf/csf.pignore

exe:/usr/local/cpanel/3rdparty/perl/514/bin/perl

exe:/usr/local/cpanel/3rdparty/perl/514/bin/spamd

csf -r
/etc/init.d/lfd restart

já resolve seu problema.

[PedroHenrique]

1 hora atrás, Tasso disse:

nano /etc/csf/csf.pignore

exe:/usr/local/cpanel/3rdparty/perl/514/bin/perl

exe:/usr/local/cpanel/3rdparty/perl/514/bin/spamd

csf -r
/etc/init.d/lfd restart

já resolve seu problema.

Bom dia

No caso eu adicionando essa linhas no csf.pignore eu vou parar de receber esse alerta, mais nesse caso eu queria saber em que sentido o cliente está abusando dos recursos, que processo ou o que ele está rodando que está causando isso. Se eu apenas bloquear o recebimento dessas mensagens se acontecer algo eu não serei alertado.

Eu recebi muitos aviso desses quando instalei o Nginx, mas nesse caso sim eu inseri a linha no csf.pignore para parar de receber mensagens dizendo que o processo do nginx é suspeito todas as vezes que um site era acessado. Agora no caso do spamd e o outro processo lá, eu mesmo sendo leigo nesse assunto acho que não convém.

[PedroHenrique]

58 minutos atrás, brunowebmaster disse:

Isto é o seu firewall "equilibrando" os recursos do servidor.

O próprio csf tem um recurso que, você pode ajustar o tanto de memoria pode ser usada para um determinado software ou conta, o tanto de segundo de uma execução de processo pode ser usado ou até mesmo o tanto de conexão que um software ou cliente pode ser usar.

 Estes processos por exemplo, estão acima do limite permitido setado no csf e por padrão do csf, ele envia as notificações/alertas para o adm.

E isso teria alguma relação com envio de emails em massa ou spam?

E quanto a essas mensagens, está tudo dentro dos padrões ou está realmente havendo um abuso por parte do cliente?

[PedroHenrique]

9 minutos atrás, brunowebmaster disse:

Pode ser sim.
O spamd é o spamassassin, ele filtra todos os e-mails enviados, que quanto mais e-mails enviados, mais recursos no servidor ele irá utilizar para filtrar essas mensagens.

Pior que eu uma vez estava conectado no servidor quando recebi esses e-mails, mas o desempenho do servidor estava normal, não estava com load alto em nada.

Então por isso eu não entendo nada pois conforme o email "Exceeded:     12634 > 1800 (seconds)" isso que dizer que a conta do cliente ficou rodando um processo por 3hrs seguidas!? Se for realmente isso, onde fica onde eu posso ver um log de qual processo foi esse?

Pois como falei o load do servidor não aumentou, pelo menos aparentemente não. Eu também deixei configurado o envio de emails hora para 50, e quando vou no relatorio de envios do exim, a conta do cliente tinha apenas 20 mensagens no total. A unica coisa que reparei foram uns 300 emails enviados por -remote- (remote é email enviado por aplicação externa; outlook etc?), no qual muitos falharam a entrega pois creio que seja devido ao limite de 50 mensagens hora.

[Petrus de Melo]

Amigos, estou com um problema semelhante. Vejam:

Time:    Mon Jul  3 09:07:32 2017 -0300
PID:     21936 (Parent PID:21935)
Account: conta_cliente
Uptime:  276 seconds


Executable:

/usr/local/cpanel/3rdparty/bin/webalizer_lang/portuguese_brazil


Command Line (often faked in exploits):

/usr/local/cpanel/3rdparty/bin/webalizer_lang/portuguese_brazil -N 10 -D /home/conta_cliente/tmp/webalizer/dns_cache.db -R 250 -p -n amupe.org -o /home/conta_cliente/tmp/webalizer /etc/apache2/logs/domlogs/amupe.org.bkup


Network connections by the process (if any):

udp: 158.69.222.131:38329 -> 213.186.33.99:53


Files open by the process (if any):

/dev/null
/var/log/apache2/domlogs/amupe.org.bkup
/home/conta_cliente/tmp/webalizer/dns_cache.db
/var/cpanel/locale/en.cdb
/var/cpanel/locale/pt_br.cdb
/var/tmp/21924.LOGD___WAITING_FOR_CHILD_TO_PROCESS_LOGS__.8oiVec4H.tmp


Memory maps by the process (if any):

00400000-00424000 r-xp 00000000 fc:01 806911                             /usr/local/cpanel/3rdparty/bin/webalizer_lang/portuguese_brazil
00624000-00628000 rw-p 00024000 fc:01 806911                             /usr/local/cpanel/3rdparty/bin/webalizer_lang/portuguese_brazil
00628000-00673000 rw-p 00000000 00:00 0
02352000-023d6000 rw-p 00000000 00:00 0                                  [heap]
7eff29261000-7eff29277000 r-xp 00000000 fc:01 303779                     /lib64/libresolv-2.12.so
7eff29277000-7eff29477000 ---p 00016000 fc:01 303779                     /lib64/libresolv-2.12.so
7eff29477000-7eff29478000 r--p 00016000 fc:01 303779                     /lib64/libresolv-2.12.so
7eff29478000-7eff29479000 rw-p 00017000 fc:01 303779                     /lib64/libresolv-2.12.so
7eff29479000-7eff2947b000 rw-p 00000000 00:00 0
7eff2947b000-7eff29480000 r-xp 00000000 fc:01 273940                     /lib64/libnss_dns-2.12.so
7eff29480000-7eff2967f000 ---p 00005000 fc:01 273940                     /lib64/libnss_dns-2.12.so
7eff2967f000-7eff29680000 r--p 00004000 fc:01 273940                     /lib64/libnss_dns-2.12.so
7eff29680000-7eff29681000 rw-p 00005000 fc:01 273940                     /lib64/libnss_dns-2.12.so
7eff29681000-7eff2968e000 r-xp 00000000 fc:01 303769                     /lib64/libnss_files-2.12.so
7eff2968e000-7eff2988d000 ---p 0000d000 fc:01 303769                     /lib64/libnss_files-2.12.so
7eff2988d000-7eff2988e000 r--p 0000c000 fc:01 303769                     /lib64/libnss_files-2.12.so
7eff2988e000-7eff2988f000 rw-p 0000d000 fc:01 303769                     /lib64/libnss_files-2.12.so
7eff2988f000-7eff29891000 r-xp 00000000 fc:01 277854                     /usr/lib64/libXau.so.6.0.0
7eff29891000-7eff29a91000 ---p 00002000 fc:01 277854                     /usr/lib64/libXau.so.6.0.0
7eff29a91000-7eff29a92000 rw-p 00002000 fc:01 277854                     /usr/lib64/libXau.so.6.0.0
7eff29a92000-7eff29ab8000 r-xp 00000000 fc:01 265189                     /lib64/libexpat.so.1.5.2
7eff29ab8000-7eff29cb7000 ---p 00026000 fc:01 265189                     /lib64/libexpat.so.1.5.2
7eff29cb7000-7eff29cba000 rw-p 00025000 fc:01 265189                     /lib64/libexpat.so.1.5.2
7eff29cba000-7eff29cbc000 r-xp 00000000 fc:01 301819                     /lib64/libdl-2.12.so
7eff29cbc000-7eff29ebc000 ---p 00002000 fc:01 301819                     /lib64/libdl-2.12.so
7eff29ebc000-7eff29ebd000 r--p 00002000 fc:01 301819                     /lib64/libdl-2.12.so
7eff29ebd000-7eff29ebe000 rw-p 00003000 fc:01 301819                     /lib64/libdl-2.12.so
7eff29ebe000-7eff29ee2000 r-xp 00000000 fc:01 277903                     /usr/lib64/libxcb.so.1.1.0
7eff29ee2000-7eff2a0e2000 ---p 00024000 fc:01 277903                     /usr/lib64/libxcb.so.1.1.0
7eff2a0e2000-7eff2a0e3000 rw-p 00024000 fc:01 277903                     /usr/lib64/libxcb.so.1.1.0
7eff2a0e3000-7eff2a17b000 r-xp 00000000 fc:01 267489                     /usr/lib64/libfreetype.so.6.3.22
7eff2a17b000-7eff2a37a000 ---p 00098000 fc:01 267489                     /usr/lib64/libfreetype.so.6.3.22
7eff2a37a000-7eff2a380000 rw-p 00097000 fc:01 267489                     /usr/lib64/libfreetype.so.6.3.22
7eff2a380000-7eff2a3b4000 r-xp 00000000 fc:01 267497                     /usr/lib64/libfontconfig.so.1.4.4
7eff2a3b4000-7eff2a5b4000 ---p 00034000 fc:01 267497                     /usr/lib64/libfontconfig.so.1.4.4
7eff2a5b4000-7eff2a5b6000 rw-p 00034000 fc:01 267497                     /usr/lib64/libfontconfig.so.1.4.4
7eff2a5b6000-7eff2a5f5000 r-xp 00000000 fc:01 267511                     /usr/lib64/libjpeg.so.62.0.0
7eff2a5f5000-7eff2a7f5000 ---p 0003f000 fc:01 267511                     /usr/lib64/libjpeg.so.62.0.0
7eff2a7f5000-7eff2a7f6000 rw-p 0003f000 fc:01 267511                     /usr/lib64/libjpeg.so.62.0.0
7eff2a7f6000-7eff2a806000 rw-p 00000000 00:00 0
7eff2a806000-7eff2a93d000 r-xp 00000000 fc:01 280797                     /usr/lib64/libX11.so.6.3.0
7eff2a93d000-7eff2ab3d000 ---p 00137000 fc:01 280797                     /usr/lib64/libX11.so.6.3.0
7eff2ab3d000-7eff2ab43000 rw-p 00137000 fc:01 280797                     /usr/lib64/libX11.so.6.3.0
7eff2ab43000-7eff2ab54000 r-xp 00000000 fc:01 280870                     /usr/lib64/libXpm.so.4.11.0
7eff2ab54000-7eff2ad53000 ---p 00011000 fc:01 280870                     /usr/lib64/libXpm.so.4.11.0
7eff2ad53000-7eff2ad54000 rw-p 00010000 fc:01 280870                     /usr/lib64/libXpm.so.4.11.0
7eff2ad54000-7eff2ad6b000 r-xp 00000000 fc:01 264252                     /lib64/libpthread-2.12.so
7eff2ad6b000-7eff2af6b000 ---p 00017000 fc:01 264252                     /lib64/libpthread-2.12.so
7eff2af6b000-7eff2af6c000 r--p 00017000 fc:01 264252                     /lib64/libpthread-2.12.so
7eff2af6c000-7eff2af6d000 rw-p 00018000 fc:01 264252                     /lib64/libpthread-2.12.so
7eff2af6d000-7eff2af71000 rw-p 00000000 00:00 0
7eff2af71000-7eff2b0fb000 r-xp 00000000 fc:01 264228                     /lib64/libc-2.12.so
7eff2b0fb000-7eff2b2fb000 ---p 0018a000 fc:01 264228                     /lib64/libc-2.12.so
7eff2b2fb000-7eff2b2ff000 r--p 0018a000 fc:01 264228                     /lib64/libc-2.12.so
7eff2b2ff000-7eff2b301000 rw-p 0018e000 fc:01 264228                     /lib64/libc-2.12.so
7eff2b301000-7eff2b305000 rw-p 00000000 00:00 0
7eff2b305000-7eff2b388000 r-xp 00000000 fc:01 301824                     /lib64/libm-2.12.so
7eff2b388000-7eff2b587000 ---p 00083000 fc:01 301824                     /lib64/libm-2.12.so
7eff2b587000-7eff2b588000 r--p 00082000 fc:01 301824                     /lib64/libm-2.12.so
7eff2b588000-7eff2b589000 rw-p 00083000 fc:01 301824                     /lib64/libm-2.12.so
7eff2b589000-7eff2b59e000 r-xp 00000000 fc:01 264641                     /lib64/libz.so.1.2.3
7eff2b59e000-7eff2b79d000 ---p 00015000 fc:01 264641                     /lib64/libz.so.1.2.3
7eff2b79d000-7eff2b79e000 r--p 00014000 fc:01 264641                     /lib64/libz.so.1.2.3
7eff2b79e000-7eff2b79f000 rw-p 00015000 fc:01 264641                     /lib64/libz.so.1.2.3
7eff2b79f000-7eff2b7c4000 r-xp 00000000 fc:01 267520                     /usr/lib64/libpng12.so.0.49.0
7eff2b7c4000-7eff2b9c4000 ---p 00025000 fc:01 267520                     /usr/lib64/libpng12.so.0.49.0
7eff2b9c4000-7eff2b9c5000 rw-p 00025000 fc:01 267520                     /usr/lib64/libpng12.so.0.49.0
7eff2b9c5000-7eff2b9e7000 r-xp 00000000 fc:01 280876                     /usr/lib64/libgd.so.2.0.0
7eff2b9e7000-7eff2bbe7000 ---p 00022000 fc:01 280876                     /usr/lib64/libgd.so.2.0.0
7eff2bbe7000-7eff2bc08000 rw-p 00022000 fc:01 280876                     /usr/lib64/libgd.so.2.0.0
7eff2bc08000-7eff2bc0c000 rw-p 00000000 00:00 0
7eff2bc0c000-7eff2bd7b000 r-xp 00000000 fc:01 265401                     /lib64/libdb-4.7.so
7eff2bd7b000-7eff2bf7b000 ---p 0016f000 fc:01 265401                     /lib64/libdb-4.7.so
7eff2bf7b000-7eff2bf80000 rw-p 0016f000 fc:01 265401                     /lib64/libdb-4.7.so
7eff2bf80000-7eff2bf81000 rw-p 00000000 00:00 0
7eff2bf81000-7eff2bfa1000 r-xp 00000000 fc:01 273925                     /lib64/ld-2.12.so
7eff2c126000-7eff2c15b000 r--s 00000000 fc:01 542244                     /var/db/nscd/hosts
7eff2c15b000-7eff2c195000 rw-p 00000000 00:00 0
7eff2c19e000-7eff2c1a1000 rw-p 00000000 00:00 0
7eff2c1a1000-7eff2c1a2000 r--p 00020000 fc:01 273925                     /lib64/ld-2.12.so
7eff2c1a2000-7eff2c1a3000 rw-p 00021000 fc:01 273925                     /lib64/ld-2.12.so
7eff2c1a3000-7eff2c1a4000 rw-p 00000000 00:00 0
7fff834c8000-7fff834dd000 rw-p 00000000 00:00 0                          [stack]
7fff834e6000-7fff834e7000 r-xp 00000000 00:00 0                          [vdso]
ffffffffff600000-ffffffffff601000 r-xp 00000000 00:00 0                  [vsyscall]

 

Alguém pode me dar uma orientação do que se trata?

[Petrus de Melo]

7 minutos atrás, brunowebmaster disse:

nano /etc/csf/csf.pignore

exe:/usr/local/cpanel/3rdparty/bin/webalizer_lang/portuguese_brazil

csf -r
/etc/init.d/lfd restart

Oi Bruno, obrigado pela ajuda. Sabe me informar do que se trata? É a mesma situação do brother do tópico?

[Petrus de Melo]

22 minutos atrás, brunowebmaster disse:

Quase....

No seu caso, é somente o webalizer.

O webalizer nada mais é que um software para analise de dados de todos os seus sites.
Ele só esta demorando para gerar os relatórios de estatísticas.
Que pode ser causado por grandes volumes de dados que esta sendo coletados e gerados e ou a performance da máquina que pode ter sido afetada pela geração de backups no momento da coleta dos dados.

Esse site especificamente está em um VPS por conta do grande número de ataque DDoS que estava sofrendo no servidor compartilhado. Será que pode ter a ver?