求助:famp在debian上无规律死机

zxx1 · 发表于 2011-5-4 02:07:43

大约十台装有famp的debian vps,在连续工作约三个月统一重启后,出现无规律的死机现像(1小时至5天死机一次),因VPS分布在不同地区,基本排除硬件原因,观察message,syslog发现每次down之前,都出现大量的pureftp的登录记录,于是关闭pureftp,还是死机,而且还是出现pureftp记录,但记录的日期却是N天以前的
后再查看nginx的error.log,发现连error.log中也出现pureftp的记录,每次出现这种记录后就开始死机了
另外以top命令查看一直到死机时断开,发现死机时,cpu平均都不超过0.5

爱洞特漏 · 发表于 2011-5-4 02:40:56

请把pureftpd关掉
这很可能是因为黑客利用了旧版pureftpd的一个bug

爱洞特漏 · 发表于 2011-5-4 02:41:24

如果网站少的话，建议更新至LuManager

zxx1 · 发表于 2011-5-4 09:38:08

能从famp直接更新至lumanager吗?

爱洞特漏 · 发表于 2011-5-4 11:17:31

4# zxx1 暂时不能
如果pureftpd是必须的（如果是自己使用，可以使用sftp），那么请单独升级一下pureftpd

zxx1 · 发表于 2011-5-4 11:22:26

5# 爱洞特漏
已经全部关闭了pureftpd,不会删除,所以只是把根目录下的pureftpd-start改名,但是还是会死机,
其中有一台是单独作为反向代理服务器的,现在把代理的域名指向改掉,基本上没有流量,已经7天正常运行,我想是不是和服务器的负载有关

zxx1 · 发表于 2011-5-4 11:26:43

最常死机的一台,cpu max是23%,age是3%,平均流量是105k/s

爱洞特漏 · 发表于 2011-5-4 11:46:13

负载是正常的，请检查一下/usr/分区是不是满了
df -h
然后看看哪个分区满了
如果是/usr满了，应该是nginx或者是apache的日志文件太多了
请检查一下以上目录：
/usr/local/nginx/log
/usr/local/apache/log

zxx1 · 发表于 2011-5-4 11:55:17

分区空间都是正常的,最多使用75%,所有死机的共同特征都是pureftp的日志乱跑,messages中有,syslog中也有,连/usr/local/nginx/log/error.log中也出现过,关掉pureftpd后出现的是好几天前的记录
而messages中也曾经出现过nginx的访问日志

zxx1 · 发表于 2011-5-4 11:57:32

以下是运行中的所有进程
(none):~# ps -aux
Warning: bad ps syntax, perhaps a bogus '-'? See http://procps.sf.net/faq.html
USER    PID %CPU %MEM VSZ RSS TTY    STAT START TIME COMMAND
root       1  0.0  0.1  10364 724 ?       Ss 01:34 0:01 init [2]
root       2  0.0  0.0    0    0 ?       S 01:34 0:00 [kthreadd]
root       3  0.0  0.0    0    0 ?       S 01:34 0:00 [ksoftirqd/0]
root       4  0.0  0.0    0    0 ?       S 01:34 0:00 [kworker/0:0]
root       5  0.0  0.0    0    0 ?       S 01:34 0:00 [kworker/u:0]
root       6  0.0  0.0    0    0 ?       S 01:34 0:00 [migration/0]
root       7  0.0  0.0    0    0 ?       S 01:34 0:00 [migration/1]
root       8  0.0  0.0    0    0 ?       S 01:34 0:00 [kworker/1:0]
root       9  0.0  0.0    0    0 ?       S 01:34 0:00 [ksoftirqd/1]
root       10  0.0  0.0    0    0 ?       S 01:34 0:00 [migration/2]
root       11  0.0  0.0    0    0 ?       S 01:34 0:00 [kworker/2:0]
root       12  0.0  0.0    0    0 ?       S 01:34 0:00 [ksoftirqd/2]
root       13  0.0  0.0    0    0 ?       S 01:34 0:00 [migration/3]
root       14  0.0  0.0    0    0 ?       S 01:34 0:00 [kworker/3:0]
root       15  0.0  0.0    0    0 ?       S 01:34 0:00 [ksoftirqd/3]
root       16  0.0  0.0    0    0 ?       S< 01:34 0:00 [cpuset]
root       17  0.0  0.0    0    0 ?       S< 01:34 0:00 [khelper]
root       18  0.0  0.0    0    0 ?       S 01:34 0:00 [kworker/u:1]
root       21  0.0  0.0    0    0 ?       S< 01:34 0:00 [netns]
root       24  0.0  0.0    0    0 ?       S 01:34 0:00 [xenwatch]
root       25  0.0  0.0    0    0 ?       S 01:34 0:00 [xenbus]
root    198  0.0  0.0    0    0 ?       S 01:34 0:00 [sync_supers]
root    200  0.0  0.0    0    0 ?       S 01:34 0:00 [bdi-default]
root    202  0.0  0.0    0    0 ?       S< 01:34 0:00 [kblockd]
root    212  0.0  0.0    0    0 ?       S 01:34 0:00 [kworker/1:1]
root    216  0.0  0.0    0    0 ?       S< 01:34 0:00 [ata_sff]
root    228  0.0  0.0    0    0 ?       S< 01:34 0:00 [md]
root    237  0.0  0.0    0    0 ?       S 01:34 0:00 [kworker/0:1]
root    238  0.0  0.0    0    0 ?       S< 01:34 0:00 [cfg80211]
root    324  0.0  0.0    0    0 ?       S< 01:34 0:00 [rpciod]
root    372  0.0  0.0    0    0 ?       S 01:34 0:00 [kswapd0]
root    442  0.0  0.0    0    0 ?       S 01:34 0:00 [fsnotify_mark]
root    445  0.0  0.0    0    0 ?       S< 01:34 0:00 [aio]
root    464  0.0  0.0    0    0 ?       S< 01:34 0:00 [nfsiod]
root    475  0.0  0.0    0    0 ?       S 01:34 0:00 [jfsIO]
root    476  0.0  0.0    0    0 ?       S 01:34 0:00 [jfsCommit]
root    477  0.0  0.0    0    0 ?       S 01:34 0:00 [jfsCommit]
root    478  0.0  0.0    0    0 ?       S 01:34 0:00 [jfsCommit]
root    479  0.0  0.0    0    0 ?       S 01:34 0:00 [jfsCommit]
root    480  0.0  0.0    0    0 ?       S 01:34 0:00 [jfsSync]
root    489  0.0  0.0    0    0 ?       S< 01:34 0:00 [xfs_mru_cache]
root    490  0.0  0.0    0    0 ?       S< 01:34 0:00 [xfslogd]
root    491  0.0  0.0    0    0 ?       S< 01:34 0:00 [xfsdatad]
root    492  0.0  0.0    0    0 ?       S< 01:34 0:00 [xfsconvertd]
root    494  0.0  0.0    0    0 ?       S< 01:34 0:00 [crypto]
root    1023  0.0  0.0    0    0 ?       S 01:34 0:00 [khvcd]
root    1112  0.0  0.0    0    0 ?       S< 01:34 0:00 [kpsmoused]
root    1124  0.0  0.0    0    0 ?       S< 01:34 0:00 [kondemand]
root    1154  0.0  0.0    0    0 ?       S 01:34 0:00 [kjournald]
root    1284  0.0  0.0    0    0 ?       S 01:34 0:04 [kworker/2:1]
root    1303  0.0  0.0    0    0 ?       S 01:34 0:00 [kworker/3:1]
root    1731  0.0  0.2 125960  1316 ?       Sl 01:34 0:00 /usr/sbin/rsyslogd -c3
root    1745  0.0  0.2  48916  1168 ?       Ss 01:34 0:00 /usr/sbin/sshd
ntp    1756  0.0  0.2  22432  1384 ?       Ss 01:34 0:00 /usr/sbin/ntpd -p /var/run/ntpd.pid -u 101:103 -g
root    1776  0.0  0.1  18600 836 ?       Ss 01:34 0:00 /usr/sbin/cron
root    1787  0.0  0.2  17388  1456 ?       S 01:34 0:00 /bin/sh /usr/local/mysql/bin/mysqld_safe --user=famp
famp    1890  1.4  5.1  65964 25712 ?       Sl 01:34 2:00 /usr/local/mysql/libexec/mysqld --basedir=/usr/local/mysql --datadir=/usr/local/mysql/var --user=famp --log-error=/usr/local/mysql/var/(none).err --pid-file=/usr/local/mysql/var/(none).pid --socket=/tmp/my
root    1906  0.0  0.0    0    0 ?       S 01:34 0:00 [flush-202:0]
root    1960  0.0  0.1 3848 560 hvc0    Ss+  01:34 0:00 /sbin/getty 38400 hvc0
famp    2058  0.0  1.1  85280  6024 ?       Ss 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir= -d disable_functions=
famp    2059  0.0  0.6  85280  3264 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir= -d disable_functions=
famp    2060  0.0  0.6  85280  3264 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir= -d disable_functions=
famp    2061  0.0  0.6  85280  3264 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir= -d disable_functions=
famp    2062  0.0  0.6  85280  3264 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir= -d disable_functions=
famp    2063  0.0  0.6  85280  3264 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir= -d disable_functions=
root    2065  0.0  0.1  15220 508 ?       Ss 01:41 0:00 nginx: master process /usr/local/nginx_famp/sbin/nginx
famp    2066  0.0  0.2  15952  1368 ?       S 01:41 0:00 nginx: worker process
daemon 2069  0.0  1.2  85280  6036 ?       Ss 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2070  0.0  3.8  86888 19416 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2071  0.0  3.9  86888 19892 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2072  0.0  4.0  86632 20576 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2073  0.0  3.9  86632 19924 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2074  0.0  4.0  86632 20552 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2075  0.0  3.9  86632 19912 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2076  0.0  4.2  86888 21536 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2077  0.0  4.2  86632 21508 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2078  0.0  3.5  86632 17988 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/

zxx1 · 发表于 2011-5-4 11:57:40

daemon 2079  0.0  4.0  86636 20556 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2080  0.0  3.9  86632 19684 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2081  0.0  3.9  86632 19696 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2082  0.0  4.1  86888 20716 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2083  0.0  3.5  86636 18020 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2084  0.0  3.7  86632 18960 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2085  0.0  4.1  86632 21056 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2086  0.0  3.6  86632 18104 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2087  0.0  4.1  86632 20920 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2088  0.0  4.1  86632 20976 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2089  0.0  3.9  86632 20072 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2090  0.0  3.5  86632 17992 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2091  0.0  4.1  86636 20772 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2092  0.0  3.6  86888 18268 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2093  0.0  3.5  86632 17936 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2094  0.0  4.0  86888 20128 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2095  0.0  4.1  86632 20844 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2096  0.0  3.8  86892 19324 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
daemon 2097  0.0  3.9  86888 19588 ?       S 01:41 0:00 /usr/local/php-fcgi/bin/php-cgi -d open_basedir=/home/ftp/:/tmp/:/var/tmp/
root    2099  0.0  0.1  15496 820 ?       Ss 01:41 0:00 nginx: master process /usr/local/nginx/sbin/nginx
daemon 2100  0.0  0.5  17380  2948 ?       D 01:41 0:03 nginx: worker process
daemon 2102  0.0  0.5  17224  2948 ?       S 01:41 0:04 nginx: worker process
daemon 2103  0.0  0.5  17224  2948 ?       S 01:41 0:04 nginx: worker process
daemon 2104  0.0  0.5  17236  2948 ?       S 01:41 0:04 nginx: worker process
root    3266  0.0  0.6  65980  3076 ?       Ss 03:01 0:00 sshd: root@pts/1,pts/2
root    3268  0.0  0.3  17552  1760 pts/1 Ss 03:01 0:00 -bash
root    3269  0.0  0.3  17552  1748 pts/2 Ss+  03:01 0:00 -bash
root    3301  0.2  0.2  18876  1164 pts/1 S+ 03:02 0:06 top
root    3852  0.0  0.6  65980  3076 ?       Ss 03:48 0:00 sshd: root@pts/3,pts/4
root    3858  0.0  0.3  17552  1604 pts/3 Ss+  03:49 0:00 -bash
root    3862  0.0  0.3  17552  1740 pts/4 Ss 03:49 0:00 -bash
root    3936  0.0  0.1  14780 988 pts/4 R+ 03:54 0:00 ps -aux

爱洞特漏 · 发表于 2011-5-4 13:00:46

“关掉pureftpd后出现的是好几天前的记录”
意思就是关掉后就没有记录了？

“而messages中也曾经出现过nginx的访问日志”
关掉pureftpd后messages中才出现nginx的访问日志的吗？

zxx1 · 发表于 2011-5-4 15:13:34

关掉后syslog,mesages,error.log中还是出现pureftpd的记录,只是记录是没有关闭前的
“而messages中也曾经出现过nginx的访问日志”
关掉pureftpd后messages中才出现nginx的访问日志的吗？
是的,有时出现nginx记录,有时出现purefptd关闭前的记录

爱洞特漏 · 发表于 2011-5-4 18:36:42

这情况我没遇到过了，我只能靠猜测：应该是前段时间发现的pureftpd的远端执行命令的漏洞所造成的，因为目前还没有发现别的bug
如果主机数不多的话，还是升级一下吧！

zxx1 · 发表于 2011-5-5 12:01:17

是单独升级pureftpd还是升级成lumnanger?

		自动登录	找回密码
密码			立即注册