CSF / LFD - Processos suspeitos ao executar o nginx + php5-fpm + Mysql

Question

CSF / LFD - Processos suspeitos ao executar o nginx + php5-fpm + Mysql

#1 resposta do (6 votos)
#2 resposta do (0 votos)

1

Estou executando o LFD / CSF em três servidores e em todos os servidores tenho o mesmo problema desde o primeiro dia em que configurei o servidor e instalei o LFD / CSF.

Eu tenho nginx + php5-fpm + o MySQL instalado e o arquivo lfd.log está cheio de avisos:

Jan  3 00:21:57 pro1646 lfd[31599]: *Suspicious Process* PID:30238 User:www-data Uptime:7300 secs EXE:/usr/sbin/php5-fpm CMD:php-fpm: pool www
Jan  3 03:21:01 pro1646 lfd[833]: *Suspicious Process* PID:1296 User:mysql Uptime:18814003 secs EXE:/usr/sbin/mysqld CMD:/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --plugin-dir=/usr/$
Jan  3 03:21:01 pro1646 lfd[833]: *Suspicious Process* PID:25999 User:www-data Uptime:7237713 secs EXE:/usr/sbin/nginx CMD:nginx: worker process

Como posso me livrar desses avisos? Quero receber avisos importantes para o meu endereço de e-mail, mas isso não é possível porque os e-mails estão chegando sem parar ...

Obrigado.

csf lfd

por user1821484 20.01.2013 / 16:29

2 respostas

Tags csf lfd

Por que o serviço de área de trabalho remota está conectado a um IP * aleatório *? [duplicado] Acessando uma máquina local com o nome do host

score 6 · Answer 1

É necessário adicionar as seguintes linhas ao arquivo /etc/csf/csf.pignore .

exe:/usr/sbin/php5-fpm
exe:/usr/sbin/nginx
exe:/usr/sbin/mysqld

score 0 · Answer 2

Eu adicionei php-fpm à lista csf.pignore , mas depois a removi. O que aconteceu foi que eu ignorei os avisos e finalmente terminei no servidor http estar em um estado inacessível. Eu encontrei nginx erros como:

2017/06/26 09:39:13 [alert] 12926#0: *110350 open socket #10 left in connection 4
2017/06/26 09:39:13 [alert] 12926#0: *110342 open socket #103 left in connection 7
2017/06/26 09:39:13 [alert] 12926#0: *110352 open socket #6 left in connection 8
2017/06/26 09:39:13 [alert] 12926#0: *110346 open socket #109 left in connection 9

Estes parecem ser devidos a uma muito, muito má instalação de Wordpress por um grupo de idiotas de agências digitais. Eu tive que reiniciar o php-fpm para que os sites funcionassem novamente. Antes de reiniciar, pude ver uma instância de php-fpm pertencente ao próprio cliente.

Tendo pouco (= nenhum) interesse em tentar reparar a instalação do WP, transferirei esse site para um servidor barato.