Processus étrange : PERFCTL

Hello,
J’ai fait mention dans ce sujet d’un crash régulier de mysql ou de nginx sur mon serveur depuis le mois d’août et la mise à jour vers debian 11 à cause d’une saturation de la RAM et du CPU https://forum.yunohost.org/t/mysql-service-keeps-stopping/

Je ne sais pas si ça peut aider, si c’est une bonne piste ou non, mais il y 4 jours, un ami a découvert sur mon VPS un processus qui consommait plusieurs gigas de ram et énormément de processeur.

Un processus appelé perfctl.
On n’a pas réussi à trouver d’infos dessus. Ce qu’on sait, c’est qu’il était déclenché par une tâche cron et se trouvait dans un dossier chelou : /root/.config/cron
Il l’a supprimé et depuis 4 jours, pas une surcharge de CPU ou de mémoire à déclarer ! A suivre donc :wink:

Hello,
Cela semble être un malware qui a été ajouté sur ta machine (sûrement via une faille quelconque):

Tu peux vérifier potentiellement avec quelques commande tel que w ou who mais aussi last

Si cela a été ajouté dans le home du super utilisateur c’est que le malware est passé avec les droits d’Admin sur ta machine. Il faudrait que tu vérifie les accès dessus mais aussi que tu passe les mises à jour possible aussi bien systèmes que pour les applications.

Tu aurai pas une application ouvert sur internet ? :thinking:

C’est le seul sujet en effet que j’ai trouvé et ça faisait un peu peur.
Alors j’ai fait la commande last mais c’est vrai que j’ai aucun souvenir de quand je me suis connecté les dernières fois. Par contre, j’ai supprimé la connexion par mot de passe et basculé sur de la clé publique.

Concernant les apps ouvertes sur internet, je ne pense pas, voici les applis que j’ai d’installées (peut-être rainloop avec sa faille récente de sécurité ? J’ai aussi supprimé phpmyadmin sur les conseils de ce même ami) :
Archivist
Bludit x3
My Webapp
OpenSondage
Mattermost
Multi custom webapp x3
Kanboard
Shaarli x 3
Wallabag
Dokuwiki
Rainloop
FreshRSS
RSS-Bridge

— Petit suivi de l’histoire : 16 décembre 2022 —
J’ai déinstallé les applis Rainloop, Bludit, Kanboard, My Webapp et Multi Custom Webapp. J’en ai transféré certaines sur un hébergement mutualisé.
Quelques jours plus tard, le serveur a replanté pour les mêmes raisons (mysql crash à cause du manque de ram).

J’ai constaté aussi que le processus PERFCTL que j’avais supprimé est revenu.
J’ai donc créé un autre VPS, installé les mêmes applis et j’attends une semaine pour voir si le processus apparaît ou non. S’il n’apparaît pas, je ferai une fresh install de mon serveur contaminé.

This topic was automatically closed 30 days after the last reply. New replies are no longer allowed.