11
回答
nagios系统问题
百度AI开发者大赛带你边学边开发,赢100万奖金,加群:418589053   

@石头(cloved) 你好,想跟你请教个问题:我有一个系统严重错误的问题想请教你一下,我有一台服务器安装了nagios,已经有一个多月,但前天防火墙报出很多错误日志,我用命令查了一下,ps-ef|grep nagios

列出了很多这样的进程,麻烦请教一下,不知道怎么回事,急死我了~~~

nagios   19023  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19024  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19038  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19043  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19044  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19045  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19046  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19048  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19049  0.0  0.0    964   564 ?        S    16:33   0:00 ./ssh 200
nagios   19069  0.1  0.0    964   520 ?        S    16:33   0:00 ./ssh 200
nagios   19089  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19093  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19094  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19097  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19098  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19100  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19101  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19102  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19105  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19108  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19112  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19113  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19114  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19115  0.0  0.0    964   564 ?        S    16:34   0:00 ./ssh 200
nagios   19119  0.1  0.0    972   512 ?        S    16:35   0:00 ./ssh 200
nagios   19120  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19127  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19128  0.0  0.0    960   560 ?        S    16:35   0:00 ./ssh 200
nagios   19137  0.0  0.0    960   560 ?        S    16:35   0:00 ./ssh 200
nagios   19146  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19155  0.1  0.0    964   520 ?        S    16:35   0:00 ./ssh 200
nagios   19178  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19179  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19351  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19368  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19377  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19385  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19387  0.1  0.0    972   512 ?        S    16:35   0:00 ./ssh 200
nagios   19388  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19394  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200
nagios   19407  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200

举报
鲍尔
发帖于6年前 11回/495阅
共有11个答案 最后回答: 6年前
不光要检查进程,还要查看日志 在nagios/var下有一个nagios.log, 光凭你贴出来信息无法判断什么问题.

nagios/var/nagios.log日志没有什么异常,就是跟平常的一样,这两天才出现这种问题

系统也日志报出这样的错误

cat /var/log/message

Aug  7 21:16:10 ninecity-cn kernel: ssh[3572]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:11 ninecity-cn kernel: ssh[3330]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:18 ninecity-cn kernel: ssh[3598]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:18 ninecity-cn kernel: ssh[3601]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:19 ninecity-cn kernel: ssh[3602]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:26 ninecity-cn kernel: ssh[3480]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:27 ninecity-cn kernel: ssh[3626]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:35 ninecity-cn kernel: ssh[3637]: segfault at 00000000643307fc rip 00000000080a3377 rsp 00000000ff9d2f90 error 4
Aug  7 21:16:42 ninecity-cn kernel: ssh[3643]: segfault at 00000000643307fc rip 00000000080a3377 rsp 00000000ff9d2f90 error 4
Aug  7 21:16:45 ninecity-cn kernel: ssh[3649]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:46 ninecity-cn kernel: ssh[3650]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:53 ninecity-cn kernel: ssh[3653]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:16:56 ninecity-cn kernel: ssh[3644]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4
Aug  7 21:17:24 ninecity-cn kernel: ssh[3681]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff9d2fc0 error 4

而且我停止nagios后系统日志就不停的报错

Aug  7 21:35:48 ninecity-cn kernel: ssh[5615]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:36:09 ninecity-cn kernel: ssh[5665]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:36:15 ninecity-cn kernel: ssh[5666]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:36:27 ninecity-cn kernel: ssh[5673]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:36:34 ninecity-cn kernel: ssh[5677]: segfault at 00000000643307fc rip 00000000080a3377 rsp 00000000ff8be5e0 error 4
Aug  7 21:36:48 ninecity-cn kernel: ssh[5686]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:36:49 ninecity-cn kernel: ssh[5687]: segfault at 00000000642d686f rip 00000000080a3377 rsp 00000000ff8be5e0 error 4
Aug  7 21:36:52 ninecity-cn kernel: ssh[5685]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:37:19 ninecity-cn kernel: ssh[5714]: segfault at 00000000643307fc rip 00000000080a3377 rsp 00000000ff8be5e0 error 4
Aug  7 21:37:19 ninecity-cn kernel: ssh[5713]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:37:27 ninecity-cn kernel: ssh[5721]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:37:31 ninecity-cn kernel: ssh[5720]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:37:36 ninecity-cn kernel: ssh[5726]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:37:43 ninecity-cn kernel: ssh[5737]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:37:44 ninecity-cn kernel: ssh[5731]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:37:49 ninecity-cn kernel: ssh[5738]: segfault at 0000000000000000 rip 0000000008048e33 rsp 00000000ff8be610 error 4
Aug  7 21:38:51 ninecity-cn kernel: ssh[5786]: segfault at 00000000643307fc rip 00000000080a3377 rsp 00000000ff8be5e0 error 4
Aug  7 21:38:53 ninecity-cn kernel: ssh[5788]: segfault at 00000000643307fc rip 00000000080a3377 rsp 00000000ff8be5e0 error 4

这是怎么回事呢?麻烦大家给点建议啊,我弄了一天了,没弄好~~

根据最上面我提到的,发现nagios用户有很多ssh的进程数,我用find命令查找,为什么会有个/home/nagios/  /ssh文件呢??然后又进不去这个文件~~如图


 

--- 共有 1 条评论 ---
石头(cloved)在nagios下,存在一个用空格命名的目录 ls -al应该可以看得到。 6年前 回复

很明显的,系统被入侵了。

nagios   19407  0.0  0.0    964   564 ?        S    16:35   0:00 ./ssh 200

如上内容显示 ,你的系统中已经被植入sshd的后门程序。

想办法彻底check系统,找到漏洞,并重新安装部署吧。


--- 共有 2 条评论 ---
石头(cloved)另外,有些安全工具可以帮你确认及解决问题。 我常用的: chkrootkit, rkhunter,用作内部扫描; Nessus,openVAS,用作外部扫描; 6年前 回复
石头(cloved)确认一下nagios用户的密码强度,大部分系统被入侵的原因,都是不恰当的帐号/密码设置,比如弱口令。 6年前 回复

非常感谢石头大哥,正如你所说,中了后门,目前处理方法是杀死了nagios进程,加强防火墙,非常感谢你介绍的工具,我会下载来玩玩。

石头大哥你好,我现在又有一个问题,为什么监控一台IRONPORT的机器,通过snmp来监控IRONPORT的内存,线程,风扇,大多时候不会出现警告,但有时会为UNKNOWN状态,具体是什么原因引起的UNKNOWN状态呢?你有没有QQ,方便联系一下的?

--- 共有 1 条评论 ---
石头(cloved)unkown有可能是没有取到数据造成的。 问题可以Email我 cloved@gmail.com 6年前 回复
顶部