可疑进程*用户:www-数据EXE:/usr/sbin/php5-fpm

Question

我在Debian服务器上安装了csf，它使用nginx+php5-fpm，并看到了很多这些

23293：可疑进程PID:16998 PPID:16122用户: www -数据正常运行时间:824秒EXE:/usr/sbin/php5-fpm CMD:php:池www lfd23293：可疑进程PID:17053 PPID:16122用户:www-数据正常时间:822秒EXE:/usr/sbin/php5-fpm :php: www lfd23293：可疑进程PID:17113 PPID:用户:www-数据更新时间:818秒EXE:/usr/sbin/php5-fpm池www lfd23293：可疑进程PID:17114 PPID:16122用户: www -数据更新时间:818秒EXE:/usr/sbin/php5

在/var/log/lfd.log中，当服务器负载异常高(+100)时，ldf经常跳到cpu使用列表的首位。我想知道这是否预示着某种攻击矢量，如果是的话，该如何应对呢？

Answer 1

虽然您的怀疑可以在这个站点上合法地解决，但是您的问题的解决方案更适合于SuperUser，或者更好的是ServerFault。

通常，这没什么好担心的，没有人会攻击你。这是典型的ConfigServer安全防火墙 LDF假阳性.每个连接都会产生一个新的php5-fpm实例，这就是为什么您会看到这么多条目。

要解决这个问题，只需将exe:/usr/sbin/php5-fpm添加到/etc/cfs/cfs.pignore中即可。

。

Answer 2

传统上，我将这些行添加到我设置的服务器的每个/etc/csf.pignore文件中：

# sineld
exe:/usr/sbin/php5-fpm
exe:/usr/sbin/nginx
exe:/usr/sbin/mysqld
exe:/usr/bin/redis-server
exe:/sbin/rpcbind
exe:/usr/sbin/dnsmasq
exe:/sbin/rpc.statd