Ad Widget

Collapse

zbx_trends_sh загрузка CPU

Collapse
X
Collapse
 
  • Page of 1
  • Time
  • Show
Clear All
new posts
Previous template Next
  • 3Dimension
    Junior Member
    • Mar 2023
    • 6
    #1

    zbx_trends_sh загрузка CPU

    Добрый день.
    Установлен Zabbix 6.0.12. С недавних пор заметил, что CPU на виртуалке загружен на 100%, в процессах вижу zbx_trends_sh жрет не в себя. google и yandex не дал полезной информации. Кто нибудь в курсе что это такое и как это лечится?

    Click image for larger version Name: z1.png Views: 366 Size: 18.7 KB ID: 461602Click image for larger version Name: z2.png Views: 337 Size: 52.2 KB ID: 461603
    Tags: None
    • Kos
      Senior Member
      Zabbix Certified SpecialistZabbix Certified Professional
      • Aug 2015
      • 3404
      #2
      Zabbix v6.0.14. У меня такого процесса нет, и это не один из процессов сервера Zabbix (там все процессы имеют имя "zabbix_server").
      Похоже на что-то самодельное - ищите, что это, откуда и каким образом запускается. "ps -fu zabbix | grep zbx_trends_sh" вам в помощь.

        Comment

        • 3Dimension
          Junior Member
          • Mar 2023
          • 6
          #3
          zabbix 799 1 99 Mar22 ? 3-12:06:23 /tmp/zbx_trends_sh -o pool.supportxmr.com:443 -u 899fRdq2BAfJN2YWoMA8Wn5GWQnf5fwXWjm3NNQnkV3oSNwSoj BRjuABMrqatGrqso81DEDUhC8nJ1EYk9eiZMGK1gvq6a9 -k --tls -p ZX -B

          похож на вирус

            Comment

            • 3Dimension
              Junior Member
              • Mar 2023
              • 6
              #4
              После рестарта виртуалки, процесс снова запускается. Где можно посмотреть автозагрузку и убить процесс навсегда?

                Comment

                • Kos
                  Senior Member
                  Zabbix Certified SpecialistZabbix Certified Professional
                  • Aug 2015
                  • 3404
                  #5
                  Судя по выводу команды "ps", у этого процесса CPU Usage=99% (впрочем, вы это и так уже знаете), а PPID=1. Судя по PPID, процесс запускается либо системным процессом init (или, что более вероятно, systemd на современных системах), либо каким-то другим процессом, который уже завершился.

                  Я бы искал в стандартных местах:
                  • init-скрипты - в папках /etc/init.d, /etc/rc.d и их подпапках "rc?.d" (на старых системах с initd, да и на новых для совместимости могут быть);
                  • unit-файлы - в папках /etc/systemd/system и подпапках "*.target.wants" (в первую очередь - default.target.wants), а также в папке ".config/systemd/user" в домашней директории пользователя zabbix.
                  А такой файл реально есть? Что говорит команда "file /tmp/zbx_trends_sh"? Если это скрипт (судя по имени файла), то что в нём?
                  Но вообще-то, судя по упоминанию "pool.supportxmr.com" в командной строке, похоже на майнер какой-то криптовалюты (ссылка). В этом случае неудивительно, что он жрёт CPU (наверное, ещё и GPU, если ему доступен).

                    Comment

                    • 3Dimension
                      Junior Member
                      • Mar 2023
                      • 6
                      #6
                      file /tmp/zbx_trends_sh - зашифрован.
                      Без доступа в интернет процесс не запускается и файл пустой. Как только появляется интернет файл достигает объёма в 750 МБ.
                      Есть предположение, что могли взломать через apache. Не было ли у вас похожих ситуаций и как можно себя обезопасить чтобы избежать подобного рода проблем?

                        Comment

                        • Nua
                          Junior Member
                          • Jun 2023
                          • 1
                          #7
                          Скажите, чем закончилась история?
                          Есть такая же проблема.Файл шифрован, но себя прописывает в ТЕМПы после удаления.Что инициирует запуск?

                            Comment

                            Previous template Next
                            Working...