1

予備知識:+ CentOS 5 + Plesk 10.4.4アップデート#35

問題:pleskでの新しいドメイン/ホストの追加/変更中に、通常、新しいまたは更新されたapache vhost構成ファイルを書き込んでから、apacheサービスを再起動します。更新の書き換えは正常に行われているようで、ファイルにエラーはありませんが、最近、ポート80が使用できないため、シャットダウン後にapacheを再起動できません。「netstat-tulpn ...」でさらに調べると、次のようになります...

Proto Recv-Q Send-Q Local Address               Foreign Address             State       PID/Program name
tcp        0      0 :::80                       :::*                        LISTEN      25794/PDFLUSH
tcp        0      0 :::443                      :::*                        LISTEN      25794/PDFLUSH

PDFLUSHが高いプロセスIDを占有しているが、80と443の両方に配置されているため、apacheが復旧しないことがわかります。「servicehttpdstart」を再度実行してApacheを起動する前に、手動でPIDを取得してKillを発行する必要があります。

私の検索では、誰かがハッキングされているという古い言及を見ましたが、同様の症状を見つけることができます。正直なところ、ログで何を探すべきか、具体的にどのログファイルを探すべきかわかりません。また、これはメモリ障害の症状である可能性があると聞きましたが、運用サーバーでメモリをテストする方法がわかりません。

どうか、助けていただければ幸いです。サーバーが再びダウンするというSMSを受け取るたびに、私の心は沈みます。

編集サブドメインを追加するだけで再び発生しましたが、今回はPDFLUSHインスタンスを強制終了してapacheを起動する前に、ps-auxをすばやく実行できました...

apache ... ./PDFLUSH -b service.config

今その場所を検索しようとしています...

4

2 に答える 2

1

良いニュースは、犯人が見つかったことです。悪いニュースは、それが「c99」であることです。Google で検索すると、長い歴史が見つかります。サーバーはルート化されていますか?

同様の問題があり、「PDFLUSH」以外の名前を使用していても同じかもしれないと思う人は、

find /var/www/vhosts -name PDFLUSH

小さな野郎がどこに隠れているかを突き止めるために。Webroot 内のディレクトリ ツリーの奥深くに埋もれている共有ホスティング クライアント サイトの 1 つで、私のファイルを見つけました。

于 2012-07-10T16:30:45.677 に答える
0

あなたが含めたnetstat出力は非常に疑わしいです:

  • 表示されているプログラムはPDFLUSH、すべての文字が大文字で呼び出されます。これは、検出を回避しようとする試みのようです。pdflush(すべて小文字) は、ダーティ メモリ ページのディスクへの書き込みを処理する正当なカーネル スレッドの名前です。正当なプログラムがそのような名前を使用する可能性はほとんどありません。

  • 正当なpdflushものにはネットワーク機能がありません。ネットワークとはまったく関係ありません。これは Web サーバーとして機能しているようですが、そのような名前の Web サーバーは存在しません。その残念な名前でカスタム Web サーバーを明示的にインストールしない限り、問題が発生します。

    netcatまたは Telnet クライアントを使用して、これら 2 つのポートに接続しようとしましたか? それは何が起こっているのかについての手がかりを与えるかもしれません。

システムのメモリをテストする限り、memtest86最近では事実上の標準ツールです。ただし、メモリの障害は、通常、ランダムなクラッシュの形で表示されます。表示される内容は、具体的すぎるようです。

于 2012-07-05T23:48:45.620 に答える