Skocz do zawartości
Mega_88

LFD - raporty (ConfigServer F&S)

Polecane posty

Cześć, może mi ktoś tak po Polsku wytłumaczyć o co chodzi oraz czy coś powinienem z tym zrobić. Uruchomiłem sobie raporty z ConfigServer Firewall&Security i nie wiem teraz mam coś zmieniać w konfiguracji serwera czy po prostu się tym nie przejmować bo nie ma to większego znaczenia. Całych raportów nie wklejam chyba, że będą potrzebne to mogę udostępnić.

 

1 raport (tego jest dość sporo, szczególnie od jednego usera):

 

Typ A:

Time:         Wed Jun 21 12:38:01 2017 +0200
Account:      NAZWA_USERA
Resource:     Virtual Memory Size
Exceeded:     270 > 256 (MB)
Executable:   /usr/local/php56/sbin/php-fpm56
Command Line: php-fpm: pool NAZWA_USERA                                                                                                 
PID:          25940 (Parent PID:3976)
Killed:       No

Typ B:

Time:         Wed Jun 21 12:42:02 2017 +0200
Account:      NAZWA_USERA
Resource:     Process Time
Exceeded:     20502 > 1800 (seconds)
Executable:   /usr/bin/perl
Command Line: spamd child
PID:          2997 (Parent PID:8021)
Killed:       No

2 raport:

Typ A:

Time:    Wed Jun 21 11:48:53 2017 +0200
PID:     19700 (Parent PID:3976)
Account: NAZWA_USERA
Uptime:  108 seconds


Executable:

/usr/local/php56/sbin/php-fpm56


Command Line (often faked in exploits):

php-fpm: pool NAZWA_USERA 
...

Typ B:

Time:    Wed Jun 21 11:38:52 2017 +0200
PID:     28655 (Parent PID:1855)
Account: dovecot
Uptime:  7277 seconds


Executable:

/usr/libexec/dovecot/managesieve-login


Command Line (often faked in exploits):

dovecot/managesieve-login
...
Edytowano przez Mega_88 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Na wstępie powiem że jestem laikiem, używam CSF i LFD, ale moja wiedza w tym temacie jest bliska zeru, to co napiszę to to czego się dowiedziałem podczas pracy z tym firewallem i co wyczytałem w sieci. Mogłem czegoś nie doczytać, coś źle zrozumieć lub zinterpretować.

 

Są to informacje o tym co zjada jakieś zasoby serwera, lub jest długo uruchomione - są to rzeczy które potencjalnie mogą być jakimś np szkodliwym skryptem. Można w ten sposób wykryć że przejęto php i coś grzebie w systemie. Np. utworzył sobie osobną pulę, z większymi uprawnieniami.

Dopytywałem o to na tym forum, więcej przeczytasz w tych tematach: http://www.webhostingtalk.pl/topic/54831-lfd-konfiguracja-powiadomien/ http://www.webhostingtalk.pl/topic/54853-lfd-whitelistowanie-procesow-z-glowa/

 

Jak będziesz miał po tym jakieś jeszcze pytania napisz może będę umiał pomóc.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dzięki za odpowiedź, no właśnie mniej więcej rozumiem że coś zjada więcej zasobów niż jest ustawiony limit lub działa za długo i dlatego sypie raportem.

 

Bardziej chciałem się dowiedzieć czy powinienem coś z tym robić, poddać większej analizie bo coś tam siedzi czy po prostu tak jak było w jednym z tematów, które podesłałeś ustawić wyjątek dla np: takiego raportu (od jednego usera jest najwięcej, jakieś 70% (joomla):

 

Raport: Excessive resource usage: NAZWA_USERA (27396 (Parent PID:3976))

Time:         Wed Jun 21 13:05:05 2017 +0200
Account:      NAZWA_USERA
Resource:     Virtual Memory Size
Exceeded:     266 > 256 (MB)
Executable:   /usr/local/php56/sbin/php-fpm56
Command Line: php-fpm: pool NAZWA_USERA                                                                                                  
PID:          22693 (Parent PID:3976)
Killed:       No

Raport: Suspicious process running under user NAZWA_USERA

Time:    Wed Jun 21 13:02:04 2017 +0200
PID:     13644 (Parent PID:3976)
Account: NAZWA_USERA
Uptime:  116 seconds

Executable:

/usr/local/php56/sbin/php-fpm56

Command Line (often faked in exploits):

php-fpm: pool NAZWA_USERA                                                                                                 

Network connections by the process (if any):

tcp: IP_SERWERA:PORT -> IP_POŁĄCZENIA:80

Files open by the process (if any):

/dev/null
/dev/null
/tmp/ZCUD14Vf2f (deleted)
/tmp/temp
....
Edytowano przez Mega_88 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

LFD z tego co zauważyłem większość rzeczy traktuje jak zło, jak coś dodajesz na serwer, jakąś usługę to musisz mu powiedzieć że to tak ma być przez jej whitelistowanie - ja to tak rozumiem. LFD ma krzyczeć w momencie gdy coś dzieje się nietypowego na serwerze czego nie powinno być. Jak zrobisz upgrade to też Ci zakrzyczy że mu się md5sum nie zgadza dla plików. Nawet jak sam csf się zaktualizuje to masz informacje z crona o tym fakcie a potem z LFD że pliki były modyfikowane.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

@Vasthi ja bym nie whitelistował od razu całego phpa ale konkretną pulę dla konkretnego użytkownika. Czyli cmd:php-fpm: pool NAZWA_USERA

 

EDIT:

Różnica jest taka że jak zostanie dodany nowa pula bez Twojej wiedzy masz o tym informacje, a jak whitelistujesz całego phpa już nie.

Edytowano przez Fizyda (zobacz historię edycji)
  • Upvote 1

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Cześć, dziękuje za obecne odpowiedzi.

 

Czyli jak większość raportów: Excessive resource usage: NAZWA_USERA (10958 (Parent PID:3976)) jest od jednego użytkownika tego typu:

Time:         Thu Jun 22 00:13:05 2017 +0200
Account:      NAZWA_USERA
Resource:     Virtual Memory Size
Exceeded:     261 > 256 (MB)
Executable:   /usr/local/php56/sbin/php-fpm56
Command Line: php-fpm: pool NAZWA_USERA                                                                                                  
PID:          10958 (Parent PID:3976)
Killed:       No

To w /etc/csf/csf.pignore dodać na końcu: cmd:php-fpm: pool NAZWA_USERA i nie kombinować z powiększaniem dla niego limitu lub ustaleniem co pobiera taką ilość pamięci bo joomla tak ma i tyle, a sam proces nie jest jakoś szczególnie niebezpieczny ?

 

Wcześniej miałem z tą stroną problemy - wysyłka spamu, ale już chyba opanowane bo od długiego czasu nic się nie działo.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

W CSF masz włączone sprawdzanie ile dany user używa pamięci i przeez to masz takie komunikaty.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Dokładnie w CSF możesz ustalić limity po przekroczeniu których ma wysyłać powiadomienia. To nie joomla tyle zjada a cały php. To ile php zużywa zasobów dla poszczególnej strony może sugerować o jakiś włamaniu na stronę czy o tym że w skrypcie jest jakiś robak, ale może też świadczyć o zwiększonym ruchu na stronie, dlatego moim zdaniem podnoszenie limitów to słaby pomysł, nawet jeśli dałoby się je podnieść dla konkretnej puli php'a.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

Dokładnie w CSF możesz ustalić limity po przekroczeniu których ma wysyłać powiadomienia. To nie joomla tyle zjada a cały php. To ile php zużywa zasobów dla poszczególnej strony może sugerować o jakiś włamaniu na stronę czy o tym że w skrypcie jest jakiś robak, ale może też świadczyć o zwiększonym ruchu na stronie, dlatego moim zdaniem podnoszenie limitów to słaby pomysł, nawet jeśli dałoby się je podnieść dla konkretnej puli php'a.

 

PHP danego użytkownika. Ma tryb fpm odpalony.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

 

PHP danego użytkownika. Ma tryb fpm odpalony.

 

Czyli jeżeli na jednym użytkownik odpalę osobne pule php dla każdej strony osobno to lfd będzie zliczał obie? Pomijając fakt że to głupie - pytam aby wiedzieć jak to działa.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

PT_USERMEM (opcja w csf)

 

This User Process Tracking option sends an alert if any user process exceeds
the virtual memory usage set (MB). To ignore specific processes or users use
csf.pignore

Set to 0 to disable this feature

 

 

Konfiguracja fpm zależy. Na jednym serwerze mam procesy fpm per user a na inny pula procesów jest per strona/domena.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Wydaje mi się, że w moim przypadku i tego konkretnego użytkownika to właśnie sama strona generuje takie zużycie, bo nawet jak sam na nią wejdę i lekko poskaczę to od razu dostaję raport (ale nie wiem czy to właśnie na takiej podstawie są generowane).
W jakiś logach będzie można ustalić co konkretnie zjada zasoby czy to po prostu ogólna informacja - php i tyle ?
Jeszcze pytanie o taki raport, co on oznacza ? Przyznam, że średnio mi się podoba nazwa "managesieve-login" i lekko mi śmierdzi :P
Time:         Thu Jun 22 11:05:16 2017 +0200
Account:      dovecot
Resource:     Process Time
Exceeded:     90514 > 1800 (seconds)
Executable:   /usr/libexec/dovecot/managesieve-login
Command Line: dovecot/managesieve-login
PID:          4002 (Parent PID:1855)
Killed:       No

 

Edytowano przez Mega_88 (zobacz historię edycji)

Udostępnij ten post


Link to postu
Udostępnij na innych stronach
Gość Kamikadze

sprawdź proces który objada ci zasoby i spisz jego pid. Następnie np. strace -p pid sprawdź.

 

managesieve to m.in. filtry do roundcube itp. Możesz to wyłączyć sobie dla dovecota / exima zależnie jak masz configi porobione.

Udostępnij ten post


Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się


×