Pomoc Apache2 zjada zasoby procesora

[testus]

Witam,

Od kilku dni mam następujący problem.
Chwilę po uruchomieniu serwera, proces apache2 zjada mi ok 70% zasobów procesora.
Zrzut z htop

  PID USER      PRI  NI  VIRT  RES  SHR S CPU% MEM%  TIME+  Command
25731 admin      20  0  254M  5052  1092 S 76.0  0.2  7:32.79 /usr/bin/apache2 -f 40127
25727 admin      20  0  254M  5048  1092 S 70.0  0.2  7:36.86 /usr/bin/apache2 -f 40126
25970 admin      20  0  254M  5052  1092 R 39.0  0.2  3:45.59 /usr/bin/apache2 -f 40127
25969 admin      20  0  514M  466M  9388 R 37.0 23.3  3:56.17 /usr/local/bin/clamscan -i -r /share/Qweb --include=.*.386 --include=.*.bat --include=.*.bin --include=.*.blf --include=.*.bll --include=.*.bmp --include=.*.bmw --include=.*.
25976 admin      20  0  254M  5048  1092 R 36.0  0.2  3:47.48 /usr/bin/apache2 -f 40126
25971 admin      20  0  254M  5052  1092 R 36.0  0.2  3:47.03 /usr/bin/apache2 -f 40127
25977 admin      20  0  254M  5048  1092 R 34.0  0.2  3:49.22 /usr/bin/apache2 -f 40126

Nie pomógł format, instalacja od zera.
Macie jakiś pomysł o co tu może chodzić?

Wersja oprogramowania Firmware: 20150910-4.1.4
Model serwera: QNAP TS-809

 

[Usunięty użytkownik pigers]

apache - 5,052 bajtów
clamscan 466MB

raczej wyłącz skan antywirusowy niż czepiaj się biednego apache'a.

 

[testus]

Wyłączone.
Mimo wszystko procesor się grzeje.
System Qnap pokazuje zużycie procesora na poziomie 70%
Temperatura CPU przekracza 63 stopnie C i wiatraki pracują na pełnych obrotach.

  PID USER      PRI  NI  VIRT  RES  SHR S CPU% MEM%  TIME+  Command
14726 admin      20  0  254M  5048  1092 S 94.0  0.2  6:05.33 /usr/bin/apache2 -f 40126
14729 admin      20  0  254M  5048  1096 S 93.0  0.2  6:07.00 /usr/bin/apache2 -f 40127
14737 admin      20  0  254M  5048  1096 R 48.0  0.2  3:02.73 /usr/bin/apache2 -f 40127
14731 admin      20  0  254M  5048  1092 R 47.0  0.2  3:02.94 /usr/bin/apache2 -f 40126
14736 admin      20  0  254M  5048  1096 R 46.0  0.2  3:04.14 /usr/bin/apache2 -f 40127
14730 admin      20  0  254M  5048  1092 R 46.0  0.2  3:02.25 /usr/bin/apache2 -f 40126

Jak dla mnie to nie jest normalne aby apache2 zjadało tak zasoby procesora.
Nigdy wcześniej takiego obciążenia procka nie miałem

 

[Usunięty użytkownik pigers]

jakie aplikacje masz powłączane ?

 

[testus]

Usługi włączone, wytłuszczoną czcionką.

Usługi sieciowe:
Sieć M$
FTP
SSH
Kosz

Aplikacje:
Wszystkie menedżery stacji - wyłączone
Kopia zapasowa RTRR włączona - ale ona się wykonuje raz na tydzień
iTunes - wyłączone
DLNA - wyłączone
Zarządzanie multimediami - deaktywowane Media Library
Transkodowanie - wyłączone
www - włączony
Wirtualny host - włączony
LDAP - wyłączony
VPN - wyłączony
SQL - włączony
SYSlog - wyłączony
Antywirus - włączony, ale wyłączone zadania skanowania
Radius wyłączony
TFTP wyłączony


Serwer jest po formacie.
Poustawiałem wyłącznie podstawowe konfiguracje do zarządzania, www, ftp.
Wszystko włącznie ssh (prócz www), ze zmienionymi standardowymi portami.
Aktualnie serwer nie pracuje bezpośrednio w sieci, nie ma ustawionych przekierowań na ruterze.
Nie ma tu zatem niczego moim zdaniem, co tak mogłoby procek obciążać. I szczerze mówiąc zgłupiałem, nie wiem czego się czepić.
Ale chwila. Teraz widzę, przeglądając usługi, że synchronizuje mi multimedia ("Serwery aplikacji\Zarządzanie multimediami")
Cały czas wbija się nowa godzina Ostatniej aktualizacji.
Czego jeszcze nie wyłączyłem?

 

[Silas Mariusz]

Po restarcie urządzenia tez tak jest? Troche dziwny przypadek anyway...

 

[testus]

Też tak jest po restarcie.
Widzę cały czas aktualizację zarządzania multimediami - co kilka sekund wpisuje się nowa godzina.
Przez przypadek to teraz odkryłem wpisując koledze aktywne usługi.
IMO jeśli bibliotekę mam wyłączoną, a już na pewno jeśli są usunięte katalogi do synchronizacji, to nie powinien tu nic robić.
W innych wątkach widzę, że aktualizacja może zjeść takie zasoby jak u mnie. Na razie mam podejrzenia co do tej usługi.

Zaczęło się to dziać kilka dni temu, podczas gdy serwer pracował całymi miesiącami bez zarzutów.
Żeby wykluczyć jakiegoś wirusa, sformatowałem wszystko i instalacja na nowo.
Ale to samo. Bezpośrednio po restarcie procesor obciążony 0.5% do 3%, a gdzieś po 2 minutach CPU wzrasta do 70%

 

[Silas Mariusz]

Jeśli chcesz diagnozować co jest tego przyczyną to masz dwie mozliwosci...
Albo manualnie wylaczac uslugi i monitorowac obciazenie CPU...

Albo...

/etc/init.d/services.sh stop

A następnie manualnie włączaj usługi i zobacz co sie dzieje

 

[Usunięty użytkownik pigers]

okej - usługi spoko, a aplikacje ? to coś z AppCenter.

 

[Silas Mariusz]

Moze byc... To moze byc tez tunel proxy dla Web appki z App Center

 

[testus]

Z AppCenter jedynie phpMyAdmin.
Mam jeszcze Asterisk, ale profilaktycznie go wyłączyłem.

Przy czym taką konfigurację mam od lat i restartując Qnap wgrałem zachowane pliki konfiguracyjne sprzed lat. Drugi serwer z podobnymi ustawieniami pracuje normalnie.

I bądź tu mądry.

Pójdę za radą Silas'a.
Najpierw wszytko wyłączę i zobaczymy co się stanie
Czy można wyświetlić listę aktywnych usług, żebym wiedział co ubijać?
W init.d trochę tego jest, a zapewne nie wszystko aktywne, zgodnie z moimi ustawieniami.
Nieaktualne. Widzę co ubija, po wpisaniu STOP
Ubite wszystko.
CPU 61 do 66% :-(
Zatem raczej żadna z tych usług.

Biblioteka multimediów dalej wpisuje aktualną godzinę co kilka sekund w pozycję "Ostatnia aktualizacja".
Wszystko wskazuje na to że to mi zjada procka. Ale dlaczego to ciągle działa? Czy można to jakoś ubić?
Panowie w netstat -n
pojawiają mi się połączenia

			lokalny IP serwera		zewnętrzny IP	
tcp        0      0 xxx.xxx.xxx.xxx:59040    109.95.47.68:40127      ESTABLISHED
tcp        0      0 xxx.xxx.xxx.xxx:54126    109.95.47.68:40126      ESTABLISHED

zewnętrzne porty 40127 i 40127 to są te same porty co na liście htop przy apache2.
Może mam jakiś syf, tylko gdzie

 

[Usunięty użytkownik pigers]

jakieś aplikacje w Apache masz odpalone ?

 

[testus]

Nie. Działam przy zamkniętych wszystkich usługach.
109.95.47.68 - to adres ukraiński. Zdecydowanie jest to podejrzane.

 

[Usunięty użytkownik pigers]

wyłącz biblioteke multimediów całkiem - indeks pójdzie w diabły ale powie nam to więcej

 

[testus]

a przez całkiem wyłącz co rozumiesz?
Bo ja już wyłączałem sh i dezaktywowałem Media Library.
Z pewnością nie moje dane zawierają wirusa. Ponowny format systemu i dysków
Instalacja, bez wgrywania danych na system - po oko 2, może 3 minutach CPU na 66%

Dziura w systemie wg Was?

 

[Usunięty użytkownik pigers]

Bo ja już wyłączałem sh i dezaktywowałem Media Library.

w porządku.

Przychodzą mi do głowy takie rzeczy:
1. Czy jak NASowi odetniesz dostęp do Internetu to dalej się dzieje ? Fajnie jakbyś mógł podłączyć go do sieci bez internetu i tam patrzeć co się dzieje - chce wyeliminowac infekcję z sieci lokalnej.
2. RAM dodawałeś ?
3. Czy w poprzedniej wersji firmware tak się dzieje ?

 

[testus]

Ad.1

• Wypiąłem z rutera net
  
• Wypiąłem z rutera wszystkie inne urządzenia sieciowe, pozostawiając tylko laptop, którego bardzo dawno nie używałem, aby wykluczyć infekcję z sieci lokalnej.

• Zresetowałem NAS i zainstalowałem na nowo, na czysto.
• Powyłączałem w systemie wszystkie usługi, prócz ssh, ale zmieniłem mu domyślny port, który na zewnątrz nie jest przekierowany przez ruter

Gdy NAS nie był wpięty do sieci, nie szałało CPU.
Ledwo włączyłem wtyczkę w ruterze od netu i netstat pokazuje połączenia:

tcp        0      0 ipserwera:58094    109.95.47.67:45865      TIME_WAIT
tcp        0      0 ipserwera:58093    109.95.47.67:45865      TIME_WAIT
tcp        0      0 ipserwera:39288    176.58.123.25:80        TIME_WAIT
tcp        0      0 ipserwera:58092    109.95.47.67:45865      TIME_WAIT

Tak szybko infekcja z sieci?
Po jakiś 2, może 3 minutach CPU wzrasta do 61%.

Czy jest możliwe aby coś siedziało w pamięci bootowalnej serwera? (może źle to nazywam, ale zapewne domyślacie się o co mi chodzi)

Ad.2 Ram nie dodawałem, ale na tym samym ram z tym systemem 4.1.4 pracuje już kilka lat, bez problemów.

Ad.3 Jeszcze nie sprawdziłem.

 

[Usunięty użytkownik pigers]

w AppCenter jest do pobrania Malware remover - zainstaluj go i niech zrobi skan
ciekawe co wyniki pokażą.

hasło admina zmianiasz zaraz po instalacji ?

 

[testus]

Nawet nie wiedziałem że coś takiego jest.
Znalazł 2. Gdzie jest jego kwarantanna?


Ale wpisy w netstat dalej jadą :-( I procek już na 67%.

 

[Usunięty użytkownik pigers]

cóż Twoje IP jest teraz pod obstrzałem
proponuje blokade tego IPka - i kontakt z wsparciem QNAPa

rzuć okiem na Check And Solve If Your QNAP NAS Has been Injected a CPUMiner Program
to może to samo.