Help
Posted 12 janeiro 2006 - 03:14
Pessoal este nobody e doido tem hora que chega a usar 89% da maquina somente um seção de nobody esta, o q pode ser? tem como identificar oq ta causando isto? abraços.
quem quiser verificar a sua e so digitar top no ssh. abraços.
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
12541 nobody 20 4 20908 12m 4016 R 26.6 2.8 0:02.53 httpd
12538 nobody 20 4 20776 12m 4008 R 23.3 2.8 0:02.26 httpd
12552 nobody 22 4 23572 14m 3936 S 7.3 3.3 0:00.30 httpd
12551 nobody 19 4 23452 14m 3944 S 5.7 3.3 0:00.38 httpd
5119 nobody 19 4 26948 18m 4132 S 3.7 4.2 0:38.42 httpd
8433 nobody 20 4 25156 15m 4096 S 3.7 3.6 0:18.06 httpd
4968 nobody 20 4 26276 17m 4120 S 2.7 3.9 0:12.60 httpd
4965 nobody 19 4 24496 16m 4072 S 2.0 3.6 0:18.48 httpd
4951 nobody 19 4 24692 15m 4108 S 1.0 3.6 0:16.09 httpd
1 root 16 0 2360 488 460 S 0.0 0.1 0:00.26 init
2 root 34 19 0 0 0 S 0.0 0.0 0:00.00 ksoftirqd/0
3 root 5 -10 0 0 0 S 0.0 0.0 0:00.00 events/0
4 root 7 -10 0 0 0 S 0.0 0.0 0:00.00 khelper
5 root 15 -10 0 0 0 S 0.0 0.0 0:00.00 kacpid
24 root 5 -10 0 0 0 S 0.0 0.0 0:00.00 kblockd/0
34 root 27 12 0 0 0 S 0.0 0.0 0:00.01 pdflush
37 root 14 -10 0 0 0 S 0.0 0.0 0:00.00 aio/0
Page 1 of 1
Problemas com nobody | comando "top"
#2
- Ele mora no fórum!
-
- Grupo: Membros
- Posts: 1009
- Cadastrado: 12-janeiro 05
- Location:Rio de Janeiro
Posted 12 janeiro 2006 - 06:43
o nobody é o "usuario" que está acessando/usando o apache. Ou seja são o sites que estão sendo acessados. isso é normal !!
#3
- Super Membro
-
- Grupo: Membros
- Posts: 155
- Cadastrado: 21-janeiro 06
- Gender:Male
- Location:Curitiba - PR
Posted 21 janeiro 2006 - 09:23
Se você estiver com o suexec ativado, vá no WHM, Server Status, CPU/Memory/MySQL Usage e veja qual usuário está consumindo tanto recurso, talvez seja algum spammer.
Caso não apareça ninguém usando tanta coisa assim, é possível que sua máquina tenha sido ownada e alguem instalou um processo com o nome http, assim vai aparecer que é um processo normal. Experimente digitar na shell netstat -anp |grep httpd e veja se todas as conexões estão sendo feitas na porta 80. Caso alguam esteja em uma porta suspeita, pode crer que é um exploit rodando na sua máquina. Solução: kilar ele, apagar, instalar um firewall e instalar o NSIV - http://www.rfxnetworks.com/nsiv.php - que nada mais faz do que monitorar os serviços em execução e caso algum deles inicie com um nome igual mas vindo de um lugar diferente, ele kila na hora e envia um e-mail para você.
[s],
Caso não apareça ninguém usando tanta coisa assim, é possível que sua máquina tenha sido ownada e alguem instalou um processo com o nome http, assim vai aparecer que é um processo normal. Experimente digitar na shell netstat -anp |grep httpd e veja se todas as conexões estão sendo feitas na porta 80. Caso alguam esteja em uma porta suspeita, pode crer que é um exploit rodando na sua máquina. Solução: kilar ele, apagar, instalar um firewall e instalar o NSIV - http://www.rfxnetworks.com/nsiv.php - que nada mais faz do que monitorar os serviços em execução e caso algum deles inicie com um nome igual mas vindo de um lugar diferente, ele kila na hora e envia um e-mail para você.
[s],
Share this topic:
Page 1 of 1