84669인 학습
152542인 학습
20005인 학습
5487인 학습
7821인 학습
359900인 학습
3350인 학습
180660인 학습
48569인 학습
18603인 학습
40936인 학습
1549인 학습
1183인 학습
32909인 학습
ringa_lee
貌似是你系统的crond+sendmail的锅?
而且你这个ls -l |grep "^-"|wc -l为何不使用find -type f|这种呢。。
ls -l |grep "^-"|wc -l
find -type f|
update:/www/web/xxx_com/public_html/includes/msn/1.sh这个是什么?
/www/web/xxx_com/public_html/includes/msn/1.sh
用 systemtap 或者 audit 记录一下是什么程序弄出来的吧。当然如果它生成得很频繁,用 sysdig 也可以弄到。
也可以打开 htop 看看有哪些进程,然后猜猜看(可以按 u 然后选用户)。然后去 strace 看看运气够不够好。
问题解决了,说下过程:
在4月底的时候,网站中过木马,当时通过排查把木马删除了。
就在前天,早上一来发现网站账号登不进付出了,经验判断是由于服务器满了,df -h一看,磁盘占用51%,再看一下节点数确实是满了。
接下来找到/var/spool/clientmqueue里面有大量的qfu-xxxx这样的零碎文件。用ll都会死机。于是手工删掉了,可是不到几个小时,又是上万个。
接下来就是经过漫无目的搜索,也没有找到好办法,通过别人的一些文章,大概感觉是因为一个什么程序调用sendmail,但sendmail根本没有安装,所以产生大量的日志。
就在刚才,突然想起去看看那些零散文件中写的是什么,www cron sendmail这几个忘带提醒了我,跑到www的crontab看看,有几十条调用/www/web/xxx_com/public_html/includes/msn/1.sh的记录。
删掉,问题解决。
貌似是你系统的crond+sendmail的锅?
而且你这个
ls -l |grep "^-"|wc -l
为何不使用find -type f|
这种呢。。update:
/www/web/xxx_com/public_html/includes/msn/1.sh
这个是什么?用 systemtap 或者 audit 记录一下是什么程序弄出来的吧。当然如果它生成得很频繁,用 sysdig 也可以弄到。
也可以打开 htop 看看有哪些进程,然后猜猜看(可以按 u 然后选用户)。然后去 strace 看看运气够不够好。
问题解决了,说下过程:
在4月底的时候,网站中过木马,当时通过排查把木马删除了。
就在前天,早上一来发现网站账号登不进付出了,经验判断是由于服务器满了,df -h一看,磁盘占用51%,再看一下节点数确实是满了。
接下来找到/var/spool/clientmqueue里面有大量的qfu-xxxx这样的零碎文件。用ll都会死机。于是手工删掉了,可是不到几个小时,又是上万个。
接下来就是经过漫无目的搜索,也没有找到好办法,通过别人的一些文章,大概感觉是因为一个什么程序调用sendmail,但sendmail根本没有安装,所以产生大量的日志。
就在刚才,突然想起去看看那些零散文件中写的是什么,www cron sendmail这几个忘带提醒了我,跑到www的crontab看看,有几十条调用/www/web/xxx_com/public_html/includes/msn/1.sh的记录。
删掉,问题解决。