可疑进程*用户:www-data EXE:/usr/sbin/php5-fpm

可疑进程*用户:www-data EXE:/usr/sbin/php5-fpm

我在使用 nginx+php5-fpm 的 Debian 服务器上安装了 csf,看到了很多这样的

lfd[23293]:可疑进程PID:16998 PPID:16122 用户:www-data 启动时间:824 秒 EXE:/usr/sbin/php5-fpm CMD:php-fpm:池 www
lfd[23293]:可疑进程PID:17053 PPID:16122 用户:www-data 启动时间:822 秒 EXE:/usr/sbin/php5-fpm CMD:php-fpm:池 www
lfd[23293]:可疑进程PID:17113 PPID:16122 用户:www-data 启动时间:818 秒 EXE:/usr/sbin/php5-fpm CMD:php-fpm:池 www
lfd[23293]:可疑进程PID:17114 PPID:16122 用户:www-data 启动时间:818 秒 EXE:/usr/sbin/php5-fpm CMD:php-fpm:池 www

在 /var/log/lfd.log 中,服务器负载异常高 (+100),并且 ldf 经常在 CPU 使用率列表中名列前茅。我想知道这是否预示着某种攻击媒介,如果是,如何应对?

答案1

虽然你的怀疑可以在这个网站上得到合理的解决,但你的问题的解决方案更适合超级用户, 或更好,服务器故障

通常情况下,这没什么好担心的,没有人会攻击你。这是一个典型的ConfigServer 安全防火墙LDF 误报。每次连接php5-fpm都会产生一个新实例,这就是您看到如此多条目的原因。

要解决这个问题,只需添加exe:/usr/sbin/php5-fpm到您的/etc/cfs/cfs.pignore

答案2

我通常会将这些行添加到我设置的服务器的每个 /etc/csf/csf.pignore 文件中:

# sineld
exe:/usr/sbin/php5-fpm
exe:/usr/sbin/nginx
exe:/usr/sbin/mysqld
exe:/usr/bin/redis-server
exe:/sbin/rpcbind
exe:/usr/sbin/dnsmasq
exe:/sbin/rpc.statd

相关内容