Afgelopen vrijdag ontving ik het volgende mailtje van mijn internet provider:
"Beste klant,
Wij hebben melding gehad van een verhoogde load op onze webserver. Bij controle van deze melding viel uw hostingpakket op. Op de verschillende webservers processen waren processen van uw pakket te vinden. Om verder overlast te voorkomen hebben wij de website afgesloten d.m.v. een .htaccess file in de documentroot.
Bij controle van deze processen is ons helaas niet duidelijk geworden wat de oorzaak van deze hoge load en aantal processen. Dit soort gedrag van website zien wij over het algemeen alleen voorkomen bij gehackte websites. Dit voornamelijk door een lek in onveilige software (versies) zoals bijv.: Joomla, E107 of Wordpress of module hiervan.
Ondanks het feit dat wij niet direct de oorzaak aan kunnen wijzen willen wij u natuurlijk verzoeken onderzoek te doen naar de oorzaak van deze vele processen. Zoals aangegeven is een CMS altijd verdachte nummer 1.
Graag direct actie ondernemen en dit terug koppelen zodat wij dit ticket kunnen afhandelen.
Van deze melding wordt notitie gemaakt onder uw klantnummer.
Zie voor meer informatie omtrent onze Abuse regels onze AUP (Acceptable Use Policy):
http://www.pcextreme.nl/abuse/
Wij hopen op uw medewerking betreffende deze melding.
================================
Voorbeeld processen op een willekeurige webserver.
================================
root@web08:~# ps aux --sort rss |egrep 8077
root 22227 0.0 0.0 7628 888 pts/1 S+ 14:27 0:00 egrep --color=auto 8077
8077 18050 24.6 3.4 1120940 569488 ? R 14:11 3:52 /usr/sbin/apache2 -k start
8077 19771 18.7 3.4 1120992 569872 ? R 14:19 1:19 /usr/sbin/apache2 -k start
8077 19215 21.3 3.4 1121008 570020 ? R 14:16 2:11 /usr/sbin/apache2 -k start
8077 19223 16.5 3.4 1121008 570132 ? R 14:16 1:41 /usr/sbin/apache2 -k start
8077 18541 19.8 3.4 1121076 570616 ? R 14:13 2:36 /usr/sbin/apache2 -k start
8077 16658 29.7 3.4 1123316 571384 ? R 14:05 6:28 /usr/sbin/apache2 -k start
8077 15073 34.3 3.5 1125312 571808 ? R 13:59 9:32 /usr/sbin/apache2 -k start
8077 14815 38.8 3.5 1125556 572384 ? R 13:57 11:19 /usr/sbin/apache2 -k start
8077 17942 22.9 3.5 1123360 572592 ? R 14:10 3:43 /usr/sbin/apache2 -k start
8077 16694 28.3 3.5 1128232 573288 ? R 14:05 6:08 /usr/sbin/apache2 -k start
8077 18431 21.6 3.5 1126944 573948 ? R 14:13 2:57 /usr/sbin/apache2 -k start
8077 17093 23.6 3.5 1126224 574036 ? R 14:07 4:36 /usr/sbin/apache2 -k start
8077 15736 34.2 3.5 1126644 574228 ? R 14:01 8:44 /usr/sbin/apache2 -k start
8077 19792 19.7 3.5 1127944 575488 ? R 14:19 1:23 /usr/sbin/apache2 -k start
8077 17095 27.2 3.5 1127476 577024 ? R 14:07 5:18 /usr/sbin/apache2 -k start
8077 17168 23.8 3.5 1127484 577364 ? R 14:07 4:35 /usr/sbin/apache2 -k start
8077 17173 25.0 3.5 1128776 577952 ? R 14:07 4:47 /usr/sbin/apache2 -k start
8077 15747 36.8 3.5 1132704 578512 ? R 14:01 9:23 /usr/sbin/apache2 -k start
8077 15906 33.8 3.5 1130176 579732 ? R 14:02 8:25 /usr/sbin/apache2 -k start
8077 17778 22.4 3.5 1132156 580008 ? R 14:10 3:48 /usr/sbin/apache2 -k start
8077 19254 19.7 3.5 1132024 580692 ? R 14:16 1:59 /usr/sbin/apache2 -k start
8077 15660 33.2 3.6 1139912 588748 ? R 14:01 8:34 /usr/sbin/apache2 -k start
8077 18544 23.9 3.6 1140060 588792 ? R 14:13 3:08 /usr/sbin/apache2 -k start
8077 18526 18.4 3.6 1146128 592332 ? R 14:13 2:27 /usr/sbin/apache2 -k start
8077 16427 28.1 3.6 1145632 593060 ? R 14:04 6:15 /usr/sbin/apache2 -k start
8077 17796 23.3 3.6 1146572 594684 ? R 14:10 3:57 /usr/sbin/apache2 -k start
8077 14094 36.6 3.6 1155796 601168 ? R 13:54 11:52 /usr/sbin/apache2 -k start
8077 19325 19.1 3.6 1154344 603100 ? R 14:17 1:51 /usr/sbin/apache2 -k start
8077 13925 36.9 3.7 1161312 605684 ? R 13:53 12:13 /usr/sbin/apache2 -k start
8077 15888 24.9 3.7 1163876 610936 ? R 14:02 6:12 /usr/sbin/apache2 -k start
root@web08:~# getent passwd |egrep 8077
vhost0003077:*:8077:5000:vhost0003077:/home/vhosting/i/vhost0003077:/bin/false
root@web10:~# ps aux --sort rss |egrep 8077
root 22631 1.0 0.0 7628 888 pts/1 S+ 14:29 0:00 egrep --color=auto 8077
8077 18050 24.0 3.4 1120940 569488 ? R 14:11 4:21 /usr/sbin/apache2 -k start
8077 19771 19.0 3.4 1120992 569872 ? R 14:19 1:48 /usr/sbin/apache2 -k start
8077 19215 21.2 3.4 1121008 570020 ? R 14:16 2:41 /usr/sbin/apache2 -k start
8077 19223 17.5 3.4 1121008 570132 ? R 14:16 2:13 /usr/sbin/apache2 -k start
8077 18541 19.5 3.4 1121076 570616 ? R 14:13 3:02 /usr/sbin/apache2 -k start
8077 16658 28.9 3.4 1123316 571384 ? R 14:05 6:59 /usr/sbin/apache2 -k start
8077 15073 32.7 3.5 1125312 571808 ? R 13:59 9:54 /usr/sbin/apache2 -k start
8077 14815 37.4 3.5 1125556 572384 ? R 13:57 11:48 /usr/sbin/apache2 -k start
8077 17942 22.5 3.5 1123360 572592 ? R 14:10 4:12 /usr/sbin/apache2 -k start
8077 16694 27.0 3.5 1128232 573288 ? R 14:05 6:30 /usr/sbin/apache2 -k start
8077 18431 21.5 3.5 1126944 573948 ? R 14:13 3:28 /usr/sbin/apache2 -k start
8077 17093 23.5 3.5 1126224 574036 ? R 14:07 5:09 /usr/sbin/apache2 -k start
8077 15736 33.0 3.5 1126644 574228 ? R 14:01 9:13 /usr/sbin/apache2 -k start
8077 19792 19.7 3.5 1127944 575488 ? R 14:19 1:52 /usr/sbin/apache2 -k start
8077 17095 26.5 3.5 1127476 577024 ? R 14:07 5:49 /usr/sbin/apache2 -k start
8077 17168 23.2 3.5 1127484 577364 ? R 14:07 5:00 /usr/sbin/apache2 -k start
8077 17173 24.6 3.5 1128776 577952 ? R 14:07 5:19 /usr/sbin/apache2 -k start
8077 15747 35.6 3.5 1132704 578512 ? R 14:01 9:56 /usr/sbin/apache2 -k start
8077 15906 32.6 3.5 1130176 579732 ? R 14:02 8:54 /usr/sbin/apache2 -k start
8077 17778 22.2 3.5 1132156 580008 ? R 14:10 4:18 /usr/sbin/apache2 -k start
8077 19254 20.0 3.5 1132024 580692 ? R 14:16 2:30 /usr/sbin/apache2 -k start
8077 15660 32.4 3.6 1139912 588748 ? R 14:01 9:08 /usr/sbin/apache2 -k start
8077 18544 23.2 3.6 1140060 588792 ? R 14:13 3:37 /usr/sbin/apache2 -k start
8077 18526 18.3 3.6 1146128 592332 ? R 14:13 2:52 /usr/sbin/apache2 -k start
8077 16427 27.5 3.6 1145632 593060 ? R 14:04 6:47 /usr/sbin/apache2 -k start
8077 17796 22.9 3.6 1146572 594684 ? R 14:10 4:26 /usr/sbin/apache2 -k start
8077 14094 35.4 3.6 1155796 601168 ? R 13:54 12:21 /usr/sbin/apache2 -k start
8077 19325 19.9 3.6 1154344 603100 ? R 14:17 2:24 /usr/sbin/apache2 -k start
8077 13925 35.7 3.7 1161312 605684 ? R 13:53 12:42 /usr/sbin/apache2 -k start
8077 15888 24.7 3.7 1163876 610936 ? R 14:02 6:46 /usr/sbin/apache2 -k start"
ik maak gebruik van iVENDi software. Deze software draait op CS Cart (http://www.cs-cart.com/)
Naar mijn weten draai ik de nieuwste versie van CS cart 3.0.6.
Heeft er iemand ervaring met bovenstaande processen. Wat betekenen deze precies? Het is voor mij echt een raadsel. Welke stappen kan ik zelf ondernemen om de website weer in de lucht te krijgen en de processen die de extreme load veroorzaken te stoppen? Tips zijn erg welkom!
"Beste klant,
Wij hebben melding gehad van een verhoogde load op onze webserver. Bij controle van deze melding viel uw hostingpakket op. Op de verschillende webservers processen waren processen van uw pakket te vinden. Om verder overlast te voorkomen hebben wij de website afgesloten d.m.v. een .htaccess file in de documentroot.
Bij controle van deze processen is ons helaas niet duidelijk geworden wat de oorzaak van deze hoge load en aantal processen. Dit soort gedrag van website zien wij over het algemeen alleen voorkomen bij gehackte websites. Dit voornamelijk door een lek in onveilige software (versies) zoals bijv.: Joomla, E107 of Wordpress of module hiervan.
Ondanks het feit dat wij niet direct de oorzaak aan kunnen wijzen willen wij u natuurlijk verzoeken onderzoek te doen naar de oorzaak van deze vele processen. Zoals aangegeven is een CMS altijd verdachte nummer 1.
Graag direct actie ondernemen en dit terug koppelen zodat wij dit ticket kunnen afhandelen.
Van deze melding wordt notitie gemaakt onder uw klantnummer.
Zie voor meer informatie omtrent onze Abuse regels onze AUP (Acceptable Use Policy):
http://www.pcextreme.nl/abuse/
Wij hopen op uw medewerking betreffende deze melding.
================================
Voorbeeld processen op een willekeurige webserver.
================================
root@web08:~# ps aux --sort rss |egrep 8077
root 22227 0.0 0.0 7628 888 pts/1 S+ 14:27 0:00 egrep --color=auto 8077
8077 18050 24.6 3.4 1120940 569488 ? R 14:11 3:52 /usr/sbin/apache2 -k start
8077 19771 18.7 3.4 1120992 569872 ? R 14:19 1:19 /usr/sbin/apache2 -k start
8077 19215 21.3 3.4 1121008 570020 ? R 14:16 2:11 /usr/sbin/apache2 -k start
8077 19223 16.5 3.4 1121008 570132 ? R 14:16 1:41 /usr/sbin/apache2 -k start
8077 18541 19.8 3.4 1121076 570616 ? R 14:13 2:36 /usr/sbin/apache2 -k start
8077 16658 29.7 3.4 1123316 571384 ? R 14:05 6:28 /usr/sbin/apache2 -k start
8077 15073 34.3 3.5 1125312 571808 ? R 13:59 9:32 /usr/sbin/apache2 -k start
8077 14815 38.8 3.5 1125556 572384 ? R 13:57 11:19 /usr/sbin/apache2 -k start
8077 17942 22.9 3.5 1123360 572592 ? R 14:10 3:43 /usr/sbin/apache2 -k start
8077 16694 28.3 3.5 1128232 573288 ? R 14:05 6:08 /usr/sbin/apache2 -k start
8077 18431 21.6 3.5 1126944 573948 ? R 14:13 2:57 /usr/sbin/apache2 -k start
8077 17093 23.6 3.5 1126224 574036 ? R 14:07 4:36 /usr/sbin/apache2 -k start
8077 15736 34.2 3.5 1126644 574228 ? R 14:01 8:44 /usr/sbin/apache2 -k start
8077 19792 19.7 3.5 1127944 575488 ? R 14:19 1:23 /usr/sbin/apache2 -k start
8077 17095 27.2 3.5 1127476 577024 ? R 14:07 5:18 /usr/sbin/apache2 -k start
8077 17168 23.8 3.5 1127484 577364 ? R 14:07 4:35 /usr/sbin/apache2 -k start
8077 17173 25.0 3.5 1128776 577952 ? R 14:07 4:47 /usr/sbin/apache2 -k start
8077 15747 36.8 3.5 1132704 578512 ? R 14:01 9:23 /usr/sbin/apache2 -k start
8077 15906 33.8 3.5 1130176 579732 ? R 14:02 8:25 /usr/sbin/apache2 -k start
8077 17778 22.4 3.5 1132156 580008 ? R 14:10 3:48 /usr/sbin/apache2 -k start
8077 19254 19.7 3.5 1132024 580692 ? R 14:16 1:59 /usr/sbin/apache2 -k start
8077 15660 33.2 3.6 1139912 588748 ? R 14:01 8:34 /usr/sbin/apache2 -k start
8077 18544 23.9 3.6 1140060 588792 ? R 14:13 3:08 /usr/sbin/apache2 -k start
8077 18526 18.4 3.6 1146128 592332 ? R 14:13 2:27 /usr/sbin/apache2 -k start
8077 16427 28.1 3.6 1145632 593060 ? R 14:04 6:15 /usr/sbin/apache2 -k start
8077 17796 23.3 3.6 1146572 594684 ? R 14:10 3:57 /usr/sbin/apache2 -k start
8077 14094 36.6 3.6 1155796 601168 ? R 13:54 11:52 /usr/sbin/apache2 -k start
8077 19325 19.1 3.6 1154344 603100 ? R 14:17 1:51 /usr/sbin/apache2 -k start
8077 13925 36.9 3.7 1161312 605684 ? R 13:53 12:13 /usr/sbin/apache2 -k start
8077 15888 24.9 3.7 1163876 610936 ? R 14:02 6:12 /usr/sbin/apache2 -k start
root@web08:~# getent passwd |egrep 8077
vhost0003077:*:8077:5000:vhost0003077:/home/vhosting/i/vhost0003077:/bin/false
root@web10:~# ps aux --sort rss |egrep 8077
root 22631 1.0 0.0 7628 888 pts/1 S+ 14:29 0:00 egrep --color=auto 8077
8077 18050 24.0 3.4 1120940 569488 ? R 14:11 4:21 /usr/sbin/apache2 -k start
8077 19771 19.0 3.4 1120992 569872 ? R 14:19 1:48 /usr/sbin/apache2 -k start
8077 19215 21.2 3.4 1121008 570020 ? R 14:16 2:41 /usr/sbin/apache2 -k start
8077 19223 17.5 3.4 1121008 570132 ? R 14:16 2:13 /usr/sbin/apache2 -k start
8077 18541 19.5 3.4 1121076 570616 ? R 14:13 3:02 /usr/sbin/apache2 -k start
8077 16658 28.9 3.4 1123316 571384 ? R 14:05 6:59 /usr/sbin/apache2 -k start
8077 15073 32.7 3.5 1125312 571808 ? R 13:59 9:54 /usr/sbin/apache2 -k start
8077 14815 37.4 3.5 1125556 572384 ? R 13:57 11:48 /usr/sbin/apache2 -k start
8077 17942 22.5 3.5 1123360 572592 ? R 14:10 4:12 /usr/sbin/apache2 -k start
8077 16694 27.0 3.5 1128232 573288 ? R 14:05 6:30 /usr/sbin/apache2 -k start
8077 18431 21.5 3.5 1126944 573948 ? R 14:13 3:28 /usr/sbin/apache2 -k start
8077 17093 23.5 3.5 1126224 574036 ? R 14:07 5:09 /usr/sbin/apache2 -k start
8077 15736 33.0 3.5 1126644 574228 ? R 14:01 9:13 /usr/sbin/apache2 -k start
8077 19792 19.7 3.5 1127944 575488 ? R 14:19 1:52 /usr/sbin/apache2 -k start
8077 17095 26.5 3.5 1127476 577024 ? R 14:07 5:49 /usr/sbin/apache2 -k start
8077 17168 23.2 3.5 1127484 577364 ? R 14:07 5:00 /usr/sbin/apache2 -k start
8077 17173 24.6 3.5 1128776 577952 ? R 14:07 5:19 /usr/sbin/apache2 -k start
8077 15747 35.6 3.5 1132704 578512 ? R 14:01 9:56 /usr/sbin/apache2 -k start
8077 15906 32.6 3.5 1130176 579732 ? R 14:02 8:54 /usr/sbin/apache2 -k start
8077 17778 22.2 3.5 1132156 580008 ? R 14:10 4:18 /usr/sbin/apache2 -k start
8077 19254 20.0 3.5 1132024 580692 ? R 14:16 2:30 /usr/sbin/apache2 -k start
8077 15660 32.4 3.6 1139912 588748 ? R 14:01 9:08 /usr/sbin/apache2 -k start
8077 18544 23.2 3.6 1140060 588792 ? R 14:13 3:37 /usr/sbin/apache2 -k start
8077 18526 18.3 3.6 1146128 592332 ? R 14:13 2:52 /usr/sbin/apache2 -k start
8077 16427 27.5 3.6 1145632 593060 ? R 14:04 6:47 /usr/sbin/apache2 -k start
8077 17796 22.9 3.6 1146572 594684 ? R 14:10 4:26 /usr/sbin/apache2 -k start
8077 14094 35.4 3.6 1155796 601168 ? R 13:54 12:21 /usr/sbin/apache2 -k start
8077 19325 19.9 3.6 1154344 603100 ? R 14:17 2:24 /usr/sbin/apache2 -k start
8077 13925 35.7 3.7 1161312 605684 ? R 13:53 12:42 /usr/sbin/apache2 -k start
8077 15888 24.7 3.7 1163876 610936 ? R 14:02 6:46 /usr/sbin/apache2 -k start"
ik maak gebruik van iVENDi software. Deze software draait op CS Cart (http://www.cs-cart.com/)
Naar mijn weten draai ik de nieuwste versie van CS cart 3.0.6.
Heeft er iemand ervaring met bovenstaande processen. Wat betekenen deze precies? Het is voor mij echt een raadsel. Welke stappen kan ik zelf ondernemen om de website weer in de lucht te krijgen en de processen die de extreme load veroorzaken te stoppen? Tips zijn erg welkom!
:strip_exif()/u/50656/andre-scholten-avatar.gif?f=community){kind=avatar}
:strip_exif()/u/33515/Supra-Avatar2.gif?f=community){kind=avatar}
/u/155568/usericon.png?f=community)
/u/102105/crop56f481fe1f74f.png?f=community)
:strip_icc():strip_exif()/u/286431/crop680f6b95743ca_cropped.jpg?f=community)
:strip_icc():strip_exif()/u/32068/kanarie_klein.jpg?f=community)
:strip_icc():strip_exif()/u/32546/crop5e623cef01555.jpeg?f=community)
:strip_exif()/u/70496/glowmouse2.gif?f=community)