Pesan "Excessive processes" dari lfd
- Thread starter am3n
- Start date
- Status
nicosoftmedia
(RIP) Community Guide
Tentu bisa, tidak ada masalah kok.
PusatHosting
Hosting Guru
saya pakai APF, BFD + PRM + ddos deflate , PRM kelihatannya cukup effektif
selain rules utama, rulesnya juga terpisah2 berdasarkan service jadi spt ini /rules dibawahnya ada httpd, exim, proftpd, sendmail, mysql dll
dari situ tinggal setting saja process maksimal yang di perbolehkan jika kelebihan langsung dia kill dan ada report ke email.
saya sebenarnya ada masalah juga, karena APF, BFD , PRM + ddos deflate karena mereka tidak menjelaskan masalah yang terjadi secara detail dari mana asal muasal overload.
misalnya saja jika terdapat overload dari salah satu file script php tertentu milik user tertentu, nah ini dia yang ngga bisa merka jelaskan.
ktanya kalau csf+lfd bisa? betul ya spt itu? keterangannya detail sampai ke nama file penyebab overload?
sory ikut menyambung tanya...
PusatHosting
Hosting Guru
wahh... setelah membaca tred ini http://www.webhostingtalk.com/showthread.php?t=724163&highlight=nobody_check
kelihatanya nobody_check cocok nih dengan problem saya saat ini karena langsung bisa memberikan info lokasi penyebab overload.
problem saya saat ini adalah ada indikasi ratusan koneksi misterius dari internal yang menyebabkan ip server sendiri dianggap melakukan ddos. aneh kan? ada yang bilang ini trojan yang sudah tertanam di internal.
troublenya :
masih kebingungan mencari sumber lokasi aktifitas tsb, coba melakukan netstat
tapi kelihatan normal saja dan saat ini saya sudah pasang nobody_chek kita lihat hasilnya besok.
kelihatanya kalau tidak dibunuh malah server yang terbunuh deh bos, yang di kill ini kelihatnanya hanya PID tertentu jadi tidak secara keseluruhan prosess. semisal process utama ikutan mati biasanya ada fitur auto restart ya jadi beberapa saat bisa nyala sendiri servicenya.
saya kira CSF = APF dan LFD = BFD selanjutnya PRM = nobody_check
jadi CSF/LFD fungsinya tidak sepadan dengan nobody_check sehingga harusnya tidak bisa dibandingkan.
kelihatanya nobody_check cocok nih dengan problem saya saat ini karena langsung bisa memberikan info lokasi penyebab overload.
problem saya saat ini adalah ada indikasi ratusan koneksi misterius dari internal yang menyebabkan ip server sendiri dianggap melakukan ddos. aneh kan? ada yang bilang ini trojan yang sudah tertanam di internal.
troublenya :
masih kebingungan mencari sumber lokasi aktifitas tsb, coba melakukan netstat
tapi kelihatan normal saja dan saat ini saya sudah pasang nobody_chek kita lihat hasilnya besok.
menarik juga, ini kalau ada proses cpanel pakai resource tinggi apa di kill otomatis juga? bukannya nanti malah bahaya ya?
kelihatanya kalau tidak dibunuh malah server yang terbunuh deh bos, yang di kill ini kelihatnanya hanya PID tertentu jadi tidak secara keseluruhan prosess. semisal process utama ikutan mati biasanya ada fitur auto restart ya jadi beberapa saat bisa nyala sendiri servicenya.
saya kira CSF = APF dan LFD = BFD selanjutnya PRM = nobody_check
jadi CSF/LFD fungsinya tidak sepadan dengan nobody_check sehingga harusnya tidak bisa dibandingkan.
Last edited:
nicosoftmedia
(RIP) Community Guide
Secara default nobody_check melakukan kill process yang memakan resource cpu dan memory sebesar 40%. dibawah itu nggak di kill. ini menurut keterangan dari si pembuatnya.
coba perhatikan hasil report nobody_check dan bandingkan dengan report CSF/LFD yang anda punya :
yang bercetak tebal itu adalah proses yang di kill. penyebabnya karena proses pada account tersebut menyalahgunakan script untuk rapidleech.
kira2 terperinci nggak hasil reportnya dibanding CSF/LFD ?
coba perhatikan hasil report nobody_check dan bandingkan dengan report CSF/LFD yang anda punya :
Code:
Nobody Check 1.0.3 Old Version Please Update on cPanel
Fri Jul 31 07:00:03 EDT 2009 on newyork.sysnoc.com
Server Load: 07:00:03 up 10 days, 8:01, 0 users, load average: 2.02, 0.84, 0.52
Warning: Malicious Nobody Process Found
=========================================
Options: kill bad proc=1 logging lvl=1
SCAN SUMMARY
========================================
Clean Processes: 0
DETECTED Malicious Processes: 11
DETECTION DETAILS
========================================
DETECTION: Process 32494 with name httpd and path (deleted)
DETECTION: Process 31891 with name httpd and path (deleted)
DETECTION: Process 29721 with name httpd and path (deleted)
DETECTION: Process 11965 with name httpd and path (deleted)
DETECTION: Process 7932 with name httpd and path (deleted)
DETECTION: Process 7702 with name httpd and path (deleted)
DETECTION: Process 3696 with name httpd and path (deleted)
DETECTION: Process 3695 with name httpd and path (deleted)
DETECTION: Process 3654 with name httpd and path (deleted)
DETECTION: Process 3633 with name httpd and path (deleted)
DETECTION: Process 3117 with name httpd and path (deleted)
Process ID: 32494 has been killed
Restuls for PID: 32494
total 0
dr-xr-xr-x 4 nobody nobody 0 Jul 31 06:58 .
dr-xr-xr-x 76 root root 0 Jul 20 22:58 ..
-r-------- 1 root root 0 Jul 31 07:00 auxv
-r--r--r-- 1 root root 0 Jul 31 06:58 cmdline
-rw-r--r-- 1 root root 0 Jul 31 07:00 coredump_filter
-r--r--r-- 1 root root 0 Jul 31 07:00 cpuset
[B]lrwxrwxrwx 1 root root 0 Jul 31 06:58 cwd -> /home/g####/public_html/test[/B] (maaf di edit)
-r-------- 1 root root 0 Jul 31 07:00 environ
lrwxrwxrwx 1 root root 0 Jul 31 06:58 exe -> (deleted) /usr/local/apache/bin/httpd
dr-x------ 2 root root 0 Jul 31 06:59 fd
?r--r--r-- 1 root root 0 Jul 31 07:00 io
-r-------- 1 root root 0 Jul 31 07:00 limits
-rw-r--r-- 1 root root 0 Jul 31 07:00 loginuid
-r--r--r-- 1 root root 0 Jul 31 06:59 maps
-rw------- 1 root root 0 Jul 31 07:00 mem
-r--r--r-- 1 root root 0 Jul 31 07:00 mounts
-r-------- 1 root root 0 Jul 31 07:00 mountstats
-rw-r--r-- 1 root root 0 Jul 31 07:00 oom_adj
-r--r--r-- 1 root root 0 Jul 31 07:00 oom_score
lrwxrwxrwx 1 root root 0 Jul 31 07:00 root -> /
-r--r--r-- 1 root root 0 Jul 31 07:00 schedstat
-r-------- 1 root root 0 Jul 31 07:00 smaps
-r--r--r-- 1 root root 0 Jul 31 06:58 stat
-r--r--r-- 1 root root 0 Jul 31 07:00 statm
-r--r--r-- 1 root root 0 Jul 31 06:58 status
dr-xr-xr-x 3 nobody nobody 0 Jul 31 07:00 task
-r--r--r-- 1 root root 0 Jul 31 07:00 wchan
Netstat:
tcp 0 0 64.128.117.212:45066 80.231.41.184:80 ESTABLISHED 32494/httpd
tcp 0 0 64.128.117.212:80 167.205.23.15:59082 ESTABLISHED 32494/httpd
Environ:
MANPATH=/usr/lib/courier-imap/man:HOSTNAME=newyork.sysnoc.comTERM=xtermHISTSIZE=1000USER=rootLD_LIBRARY_PATH=/usr/local/apache/lib:LS_COLORS=no=00:fi=00:di=01;34:ln=01;36:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.gz=01;31:*.bz2=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.avi=01;35:*.fli=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.flac=01;35:*.mp3=01;35:*.mpc=01;35:*.ogg=01;35:*.wav=01;35:PATH=/bin:/usr/bin:/sbin:/usr/sbin:/usr/local/bin:/usr/local/sbinMAIL=/var/spool/mail/rootPWD=/INPUTRC=/etc/inputrcJAVA_HOME=/usr/local/jdkEDITOR=picoLANG=en_USHOME=/rootSHLVL=2LS_OPTIONS=--color=tty -F -a -b -T 0LOGNAME=rootVISUAL=picoCLASSPATH=.:/usr/local/jdk/lib/classes.zipLESSOPEN=|/usr/bin/lesspipe.sh %sRESTARTSRV=1HISTFILE=/dev/nullG_BROKEN_FILENAMES=1_=/usr/local/apache/bin/httpdyang bercetak tebal itu adalah proses yang di kill. penyebabnya karena proses pada account tersebut menyalahgunakan script untuk rapidleech.
kira2 terperinci nggak hasil reportnya dibanding CSF/LFD ?
jr-webhost
Apprentice 2.0
hostingceria
Expert 1.0
agak sedikit bingung, saya dapet email agak kosong begini:
email seperti ini diterima kalau ada yang pakai cpu usage tinggi saja ya?
Code:
Nobody Check 1.0.3 Old Version Please Update on cPanel
Thu Aug 6 22:00:01 WIT 2009 on xxx.hostingceria.com
Server Load: 22:00:01 up 8 days, 19:04, 0 users, load average: 1.61, 1.56, 1.29
Warning: Malicious Nobody Process Found
=========================================
Options: kill bad proc=1 logging lvl=1
SCAN SUMMARY
========================================
Clean Processes: 36
DETECTED Malicious Processes: 1
DETECTION DETAILS
========================================
DETECTION: Process 32091 with name and path /bin/bash
Process ID: 32091 has been killed
Restuls for PID: 32091
Netstat:
Environ:email seperti ini diterima kalau ada yang pakai cpu usage tinggi saja ya?
nicosoftmedia
(RIP) Community Guide
Sepertinya yang di Kill itu proses non http bro.
PusatHosting
Hosting Guru
hari ke-2 setelah running nobody_check akhirnya ada hasilnya,
nicosoftmedia
(RIP) Community Guide
Wekekekekeke. nah, kan ketahuan sekarang siapa saja client2 anda yang suka pake resource besar. Dari hasil nobody_check diatas memiliki manfaat sebagai berikut :
1. Pihak Hoster dapat mengetahui client2nya yang mana saja menggunakan resource yang besar.
2. Jika sudah ketahuan maka ini bisa menjadi sarana untuk pengambilan keputusan terhadap client tersebut.
3. Pihak Hoster dapat memberikan saran/teguran kepada clientnya tentang pemakaian resourcenya yang tinggi.
1. Pihak Hoster dapat mengetahui client2nya yang mana saja menggunakan resource yang besar.
2. Jika sudah ketahuan maka ini bisa menjadi sarana untuk pengambilan keputusan terhadap client tersebut.
3. Pihak Hoster dapat memberikan saran/teguran kepada clientnya tentang pemakaian resourcenya yang tinggi.
- Status