ringa_lee
看起來像是你係統的crond+sendmail的鍋子?
而且你這個ls -l |grep "^-"|wc -l為何不使用find -type f|這種呢。 。
ls -l |grep "^-"|wc -l
find -type f|
update: /www/web/xxx_com/public_html/includes/msn/1.sh這個是什麼?
/www/web/xxx_com/public_html/includes/msn/1.sh
用 systemtap 或 audit 記錄一下是什麼程式弄出來的吧。當然如果它生成得很頻繁,用 sysdig 也可以得到。
也可以開啟 htop 看看有哪些進程,然後猜猜看(可以按 u 然後選用戶)。然後去 strace 看運氣夠不夠好。
問題解決了,說下過程:
在4月底的時候,網站中過木馬,當時透過排查把木馬刪除了。
就在前天,早上一來發現網站帳號登不進付出了,經驗判斷是由於伺服器滿了,df -h一看,磁碟佔用51%,再看一下節點數確實是滿了。
接下來找到/var/spool/clientmqueue裡面有大量的qfu-xxxx這樣的零碎文件。用ll都會死機。於是手工刪掉了,可是不到幾個小時,又是上萬個。
接下來就是經過漫無目的搜索,也沒有找到好辦法,透過別人的一些文章,大概感覺是因為一個什麼程式調用sendmail,但sendmail根本沒有安裝,所以產生大量的日誌。
就在剛才,突然想起去看看那些零散文件中寫的是什麼,www cron sendmail這幾個忘帶提醒了我,跑到www的crontab看看,有幾十條調用/www/web /xxx_com/public_html/includes/msn/1.sh的記錄。
刪掉,問題解決。
看起來像是你係統的crond+sendmail的鍋子?
而且你這個
ls -l |grep "^-"|wc -l為何不使用find -type f|這種呢。 。update:
/www/web/xxx_com/public_html/includes/msn/1.sh這個是什麼?用 systemtap 或 audit 記錄一下是什麼程式弄出來的吧。當然如果它生成得很頻繁,用 sysdig 也可以得到。
也可以開啟 htop 看看有哪些進程,然後猜猜看(可以按 u 然後選用戶)。然後去 strace 看運氣夠不夠好。
問題解決了,說下過程:
在4月底的時候,網站中過木馬,當時透過排查把木馬刪除了。
就在前天,早上一來發現網站帳號登不進付出了,經驗判斷是由於伺服器滿了,df -h一看,磁碟佔用51%,再看一下節點數確實是滿了。
接下來找到/var/spool/clientmqueue裡面有大量的qfu-xxxx這樣的零碎文件。用ll都會死機。於是手工刪掉了,可是不到幾個小時,又是上萬個。
接下來就是經過漫無目的搜索,也沒有找到好辦法,透過別人的一些文章,大概感覺是因為一個什麼程式調用sendmail,但sendmail根本沒有安裝,所以產生大量的日誌。
就在剛才,突然想起去看看那些零散文件中寫的是什麼,www cron sendmail這幾個忘帶提醒了我,跑到www的crontab看看,有幾十條調用/www/web /xxx_com/public_html/includes/msn/1.sh的記錄。
刪掉,問題解決。