klogd -x 100% CPU néha 11-es load

Hálózatok általános

Sziasztok

a wwwrun felhasználó által indított "klogd -x" nevű process szokott beragadni egy opensuse 13.1 rendszeren
van amikor 10 ilyen is fut 100%-on, és csinál 10 feletti loadot
hogy tudom kideríteni mi okozza?

  • 3871 megtekintés

( locsemege v | 2016. 02. 25., cs – 00:35 )

klogd is a system daemon which intercepts and logs Linux kernel messages.

System daemon, kernel infókat logol, és a wwwrun nevében fut? Én lehet, hogy aggódnék...

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( locsemege v | 2016. 02. 25., cs – 00:53 )

Nézd csak:

J.Ferrandis commented...
This IP gains a connection to my server and initiates a system process: 82.79.176.115:8080 ESTABLISHED 7963/klogd -x
through user wwwrun: 7963 wwwrun 20 0 20952 3824 1216 R 100 0.0 9:53.61 klogd -x
and takes 100% of processor resources. This is new and I can't find no matches at system logs neither at any apache logs. Then I know it's trying to hack my system but don't know how. Any help will be really appreciated and I know this occurs since yesterday with at least over 10 different IPs but until now I had not any more information on how it happens cause I can't find any clues in the logs.
November 07 2013 05:56 AM

Forrás

tr '[:lower:]' '[:upper:]' <<<locsemege
LOCSEMEGE

( csilee | 2016. 03. 02., sze – 09:37 )

hogy tudnám kideríteni mi is ez?
A gépen a web felé csak egy drupal 6-os van kint egy egyedileg fejlesztett modullal. Egyikhez sincs nagy közöm, frissíteni vagy mást telepíteni nem lehet az egyedi modul miatt (ami miatt van az egész).

sokminden lehet. lehet jelszotoro bot, de akar szimpla spammer node is, de akar bitcoin banyasz is, akarmi.

drupal security: https://www.cvedetails.com/vulnerability-list/vendor_id-1367/product_id…

az egyedi modul is ki tudja mennyire lyukas
ha nem lehet frissiteni meg foltozni az gaz.