Pesan "Excessive processes" dari lfd

am3n · 5 Aug 2009

oh oke, thanks,
btw apakah bisa csf/lfd yang pt_kill on dijalankan berbarengan dgn nobody_check shg saya bisa compare performance dari 2 script tsb.

klo nga bisa, terpaksa setup csf/lfd dan nobody_check di server yang berbeda

nicosoftmedia · 5 Aug 2009

am3n said:
oh oke, thanks,
btw apakah bisa csf/lfd yang pt_kill on dijalankan berbarengan dgn nobody_check shg saya bisa compare performance dari 2 script tsb.

klo nga bisa, terpaksa setup csf/lfd dan nobody_check di server yang berbeda

Tentu bisa, tidak ada masalah kok.

PusatHosting · 6 Aug 2009

am3n said:
klo PRM (process resource monitor) apakah ada yang pernah denger atau implement??
http://www.rfxn.com/projects/process-resource-monitor/

saya pakai APF, BFD + PRM + ddos deflate , PRM kelihatannya cukup effektif

selain rules utama, rulesnya juga terpisah2 berdasarkan service jadi spt ini /rules dibawahnya ada httpd, exim, proftpd, sendmail, mysql dll

dari situ tinggal setting saja process maksimal yang di perbolehkan jika kelebihan langsung dia kill dan ada report ke email.

saya sebenarnya ada masalah juga, karena APF, BFD , PRM + ddos deflate karena mereka tidak menjelaskan masalah yang terjadi secara detail dari mana asal muasal overload.

misalnya saja jika terdapat overload dari salah satu file script php tertentu milik user tertentu, nah ini dia yang ngga bisa merka jelaskan.

ktanya kalau csf+lfd bisa? betul ya spt itu? keterangannya detail sampai ke nama file penyebab overload?

sory ikut menyambung tanya...

PusatHosting · 6 Aug 2009

wahh... setelah membaca tred ini http://www.webhostingtalk.com/showthread.php?t=724163&highlight=nobody_check

kelihatanya nobody_check cocok nih dengan problem saya saat ini karena langsung bisa memberikan info lokasi penyebab overload.

problem saya saat ini adalah ada indikasi ratusan koneksi misterius dari internal yang menyebabkan ip server sendiri dianggap melakukan ddos. aneh kan? ada yang bilang ini trojan yang sudah tertanam di internal.

troublenya :
masih kebingungan mencari sumber lokasi aktifitas tsb, coba melakukan netstat

netstat -ntu | grep ':' | awk '{print $5}' | sed 's/::ffff://' | cut -f1 -d ':' | sort | uniq -c | sort -nr

tapi kelihatan normal saja dan saat ini saya sudah pasang nobody_chek kita lihat hasilnya besok.

hostingceria said:
menarik juga, ini kalau ada proses cpanel pakai resource tinggi apa di kill otomatis juga? bukannya nanti malah bahaya ya?

kelihatanya kalau tidak dibunuh malah server yang terbunuh deh bos, yang di kill ini kelihatnanya hanya PID tertentu jadi tidak secara keseluruhan prosess. semisal process utama ikutan mati biasanya ada fitur auto restart ya jadi beberapa saat bisa nyala sendiri servicenya.

am3n said:
bisa tahu alasannya kenapa lebih suka pake nobody_check drpd csf/lfd ??

saya kira CSF = APF dan LFD = BFD selanjutnya PRM = nobody_check

jadi CSF/LFD fungsinya tidak sepadan dengan nobody_check sehingga harusnya tidak bisa dibandingkan.

nicosoftmedia · 6 Aug 2009

Secara default nobody_check melakukan kill process yang memakan resource cpu dan memory sebesar 40%. dibawah itu nggak di kill. ini menurut keterangan dari si pembuatnya.

coba perhatikan hasil report nobody_check dan bandingkan dengan report CSF/LFD yang anda punya :

Code:

Nobody Check 1.0.3 Old Version Please Update on cPanel

Fri Jul 31 07:00:03 EDT 2009 on newyork.sysnoc.com
Server Load:  07:00:03 up 10 days,  8:01,  0 users,  load average: 2.02, 0.84, 0.52
Warning: Malicious Nobody Process Found
=========================================
Options: kill bad proc=1 logging lvl=1

SCAN SUMMARY
========================================

Clean Processes: 0
DETECTED Malicious Processes: 11

DETECTION DETAILS
========================================

DETECTION: Process 32494 with name httpd and path (deleted) 
DETECTION: Process 31891 with name httpd and path (deleted) 
DETECTION: Process 29721 with name httpd and path (deleted) 
DETECTION: Process 11965 with name httpd and path (deleted) 
DETECTION: Process 7932 with name httpd and path (deleted) 
DETECTION: Process 7702 with name httpd and path (deleted) 
DETECTION: Process 3696 with name httpd and path (deleted) 
DETECTION: Process 3695 with name httpd and path (deleted) 
DETECTION: Process 3654 with name httpd and path (deleted) 
DETECTION: Process 3633 with name httpd and path (deleted) 
DETECTION: Process 3117 with name httpd and path (deleted) 


Process ID: 32494 has been killed
Restuls for PID: 32494
total 0
dr-xr-xr-x  4 nobody nobody 0 Jul 31 06:58 .
dr-xr-xr-x 76 root   root   0 Jul 20 22:58 ..
-r--------  1 root   root   0 Jul 31 07:00 auxv
-r--r--r--  1 root   root   0 Jul 31 06:58 cmdline
-rw-r--r--  1 root   root   0 Jul 31 07:00 coredump_filter
-r--r--r--  1 root   root   0 Jul 31 07:00 cpuset
[B]lrwxrwxrwx  1 root   root   0 Jul 31 06:58 cwd -> /home/g####/public_html/test[/B] (maaf di edit)
-r--------  1 root   root   0 Jul 31 07:00 environ
lrwxrwxrwx  1 root   root   0 Jul 31 06:58 exe -> (deleted) /usr/local/apache/bin/httpd
dr-x------  2 root   root   0 Jul 31 06:59 fd
?r--r--r--  1 root   root   0 Jul 31 07:00 io
-r--------  1 root   root   0 Jul 31 07:00 limits
-rw-r--r--  1 root   root   0 Jul 31 07:00 loginuid
-r--r--r--  1 root   root   0 Jul 31 06:59 maps
-rw-------  1 root   root   0 Jul 31 07:00 mem
-r--r--r--  1 root   root   0 Jul 31 07:00 mounts
-r--------  1 root   root   0 Jul 31 07:00 mountstats
-rw-r--r--  1 root   root   0 Jul 31 07:00 oom_adj
-r--r--r--  1 root   root   0 Jul 31 07:00 oom_score
lrwxrwxrwx  1 root   root   0 Jul 31 07:00 root -> /
-r--r--r--  1 root   root   0 Jul 31 07:00 schedstat
-r--------  1 root   root   0 Jul 31 07:00 smaps
-r--r--r--  1 root   root   0 Jul 31 06:58 stat
-r--r--r--  1 root   root   0 Jul 31 07:00 statm
-r--r--r--  1 root   root   0 Jul 31 06:58 status
dr-xr-xr-x  3 nobody nobody 0 Jul 31 07:00 task
-r--r--r--  1 root   root   0 Jul 31 07:00 wchan

Netstat:
tcp        0      0 64.128.117.212:45066        80.231.41.184:80            ESTABLISHED 32494/httpd         
tcp        0      0 64.128.117.212:80           167.205.23.15:59082         ESTABLISHED 32494/httpd         

Environ:
MANPATH=/usr/lib/courier-imap/man:HOSTNAME=newyork.sysnoc.comTERM=xtermHISTSIZE=1000USER=rootLD_LIBRARY_PATH=/usr/local/apache/lib:LS_COLORS=no=00:fi=00:di=01;34:ln=01;36:pi=40;33:so=01;35:do=01;35:bd=40;33;01:cd=40;33;01:or=40;31;01:su=37;41:sg=30;43:tw=30;42:ow=34;42:st=37;44:ex=01;32:*.tar=01;31:*.tgz=01;31:*.arj=01;31:*.taz=01;31:*.lzh=01;31:*.zip=01;31:*.z=01;31:*.Z=01;31:*.gz=01;31:*.bz2=01;31:*.deb=01;31:*.rpm=01;31:*.jar=01;31:*.jpg=01;35:*.jpeg=01;35:*.gif=01;35:*.bmp=01;35:*.pbm=01;35:*.pgm=01;35:*.ppm=01;35:*.tga=01;35:*.xbm=01;35:*.xpm=01;35:*.tif=01;35:*.tiff=01;35:*.png=01;35:*.mov=01;35:*.mpg=01;35:*.mpeg=01;35:*.avi=01;35:*.fli=01;35:*.gl=01;35:*.dl=01;35:*.xcf=01;35:*.xwd=01;35:*.flac=01;35:*.mp3=01;35:*.mpc=01;35:*.ogg=01;35:*.wav=01;35:PATH=/bin:/usr/bin:/sbin:/usr/sbin:/usr/local/bin:/usr/local/sbinMAIL=/var/spool/mail/rootPWD=/INPUTRC=/etc/inputrcJAVA_HOME=/usr/local/jdkEDITOR=picoLANG=en_USHOME=/rootSHLVL=2LS_OPTIONS=--color=tty -F -a -b -T 0LOGNAME=rootVISUAL=picoCLASSPATH=.:/usr/local/jdk/lib/classes.zipLESSOPEN=|/usr/bin/lesspipe.sh %sRESTARTSRV=1HISTFILE=/dev/nullG_BROKEN_FILENAMES=1_=/usr/local/apache/bin/httpd

yang bercetak tebal itu adalah proses yang di kill. penyebabnya karena proses pada account tersebut menyalahgunakan script untuk rapidleech.
kira2 terperinci nggak hasil reportnya dibanding CSF/LFD ?

jr-webhost · 6 Aug 2009

nicosoftmedia said:
Pake script yang namanya nobody_check. script ini berfungsi ngekill otomatis setiap proses yang meraup resource cpu menjadi tinggi.

Coba download disini :
http://www.webhostgear.com/353.html

Mantap BOS

Thank's

hostingceria · 6 Aug 2009

agak sedikit bingung, saya dapet email agak kosong begini:

Code:

Nobody Check 1.0.3 Old Version Please Update on cPanel

Thu Aug  6 22:00:01 WIT 2009 on xxx.hostingceria.com
Server Load:  22:00:01 up 8 days, 19:04,  0 users,  load average: 1.61, 1.56, 1.29
Warning: Malicious Nobody Process Found
=========================================
Options: kill bad proc=1 logging lvl=1

SCAN SUMMARY
========================================

Clean Processes: 36
DETECTED Malicious Processes: 1


DETECTION DETAILS
========================================



DETECTION: Process 32091 with name  and path /bin/bash 


Process ID: 32091 has been killed
Restuls for PID: 32091


Netstat:


Environ:

email seperti ini diterima kalau ada yang pakai cpu usage tinggi saja ya?

nicosoftmedia · 7 Aug 2009

hostingceria said:
agak sedikit bingung, saya dapet email agak kosong begini:

Code:

DETECTION: Process 32091 with name and path /bin/bash Process ID: 32091 has been killed Restuls for PID: 32091

Sepertinya yang di Kill itu proses non http bro.

PusatHosting · 7 Aug 2009

hari ke-2 setelah running nobody_check akhirnya ada hasilnya,

Nobody Check 1.0.3 Old Version Please Update on DirectAdmin

Fri Aug 7 08:00:37 WIT 2009 on server.pusathosting.com Server Load: 08:00:37 up 77 days, 10:15, 0 users, load average: 0.34, 0.28, 0.21
Warning: Malicious Nobody Process Found
=========================================
Options: kill bad proc=1 logging lvl=1

SCAN SUMMARY
========================================

Clean Processes: 12
DETECTED Malicious Processes: 3

DETECTION DETAILS
========================================

DETECTION: Process 20065 with name grep and path /bin/grep
DETECTION: Process 20064 with name whois and path /usr/bin/jwhois
DETECTION: Process 20063 with name sh and path /bin/bash

Process ID: 20065 has been killed
Restuls for PID: 20065
total 0
dr-xr-xr-x 4 apache apache 0 Aug 7 08:00 .
dr-xr-xr-x 117 root root 0 May 21 17:44 ..
-r-------- 1 apache apache 0 Aug 7 08:00 auxv
-r--r--r-- 1 apache apache 0 Aug 7 08:00 cmdline
-rw-r--r-- 1 apache apache 0 Aug 7 08:00 coredump_filter
-r--r--r-- 1 apache apache 0 Aug 7 08:00 cpuset
lrwxrwxrwx 1 apache apache 0 Aug 7 08:00 cwd -> /home/rahasia/domains/rahasia.com/public_html
-r-------- 1 apache apache 0 Aug 7 08:00 environ
lrwxrwxrwx 1 apache apache 0 Aug 7 08:00 exe -> /bin/grep
dr-x------ 2 apache apache 0 Aug 7 08:00 fd
?r--r--r-- 1 apache apache 0 Aug 7 08:00 io
-r-------- 1 apache apache 0 Aug 7 08:00 limits
-rw-r--r-- 1 apache apache 0 Aug 7 08:00 loginuid
-r--r--r-- 1 apache apache 0 Aug 7 08:00 maps
-rw------- 1 apache apache 0 Aug 7 08:00 mem
-r--r--r-- 1 apache apache 0 Aug 7 08:00 mounts
-r-------- 1 apache apache 0 Aug 7 08:00 mountstats
-r--r--r-- 1 apache apache 0 Aug 7 08:00 numa_maps
-rw-r--r-- 1 apache apache 0 Aug 7 08:00 oom_adj
-r--r--r-- 1 apache apache 0 Aug 7 08:00 oom_score
lrwxrwxrwx 1 apache apache 0 Aug 7 08:00 root -> /
-r--r--r-- 1 apache apache 0 Aug 7 08:00 schedstat
-r-------- 1 apache apache 0 Aug 7 08:00 smaps
-r--r--r-- 1 apache apache 0 Aug 7 08:00 stat
-r--r--r-- 1 apache apache 0 Aug 7 08:00 statm
-r--r--r-- 1 apache apache 0 Aug 7 08:00 status
dr-xr-xr-x 3 apache apache 0 Aug 7 08:00 task
-r--r--r-- 1 apache apache 0 Aug 7 08:00 wchan

Netstat:

Environ:

nicosoftmedia · 7 Aug 2009

Wekekekekeke. nah, kan ketahuan sekarang siapa saja client2 anda yang suka pake resource besar. Dari hasil nobody_check diatas memiliki manfaat sebagai berikut :

1. Pihak Hoster dapat mengetahui client2nya yang mana saja menggunakan resource yang besar.
2. Jika sudah ketahuan maka ini bisa menjadi sarana untuk pengambilan keputusan terhadap client tersebut.
3. Pihak Hoster dapat memberikan saran/teguran kepada clientnya tentang pemakaian resourcenya yang tinggi.

Pesan "Excessive processes" dari lfd

am3n

Apprentice 1.0

nicosoftmedia

(RIP) Community Guide

PusatHosting

Hosting Guru

PusatHosting

Hosting Guru

nicosoftmedia

(RIP) Community Guide

jr-webhost

Apprentice 2.0

hostingceria

Active Member

nicosoftmedia

(RIP) Community Guide

PusatHosting

Hosting Guru

nicosoftmedia

(RIP) Community Guide