리눅스 cpu 과점유 현상, 비인가 접속 로그 확인법

playka의 이미지

안녕하세요 CentOS로 운영중인 서버에 top 으로 자원 사용률 확인 시

cpu 사용량이 비정상적으로 높은 것을 확인하여 질문 드립니다.

1. top 명령어로 확인 시 cpu 사용량 비정상

https://kldp.org/files/cpu1.jpg

cpu사용률을 나타내는 것이 % 로 나타내는 것으로 알고 있는데, 이 수치가 100% 를 넘어 갈 수가 있나요?

kill -9 pid 하여 프로세스를 죽여봐도 다른 pid 로 금방 다시 프로세스가 올라옵니다.

test 계정을 삭제하여 점유율 떨어지는 것을 확인하였는데, 윈도우처럼 파일들은 따로 삭제하지 않아도 괜찮을까요?

2. 비인가 접근 확인 위해 /var/log/messages 로그 확인

https://kldp.org/files/session1.jpg

https://kldp.org/files/session3.jpg

다른 서버이지만 비슷한 로그가 남아있어 사진 찍어보았습니다.

cpu과점유 서버와 동일하게 messages 로그 파일 내 session 문자열을 포함하는 열 출력 시

짧은시간 다수의 session 문자열이 포함된 로그가 남아있습니다.

혹시 이게 실제 서버에 접속하여 세션이 맺어졌던 로그일까요? 아니면 비인가 침입과 무관하게 솔루션이 운영되면서 남을 수 있는 로그들 일까요..?

로그 확인법은 검색으로 많이 나오는데 실제 로그를 읽는 방법은 알수가 없어 질문 드립니다 ㅠ

File attachments: 
첨부파일 크기
Image icon cpu1.jpg3.13 MB
Image icon session1.jpg4.04 MB
Image icon session3.jpg3.8 MB
익명 사용자의 이미지

해킹이 의심스럽다면, 랜선 뽑고 포멧하는게 좋은 방법일껍니다.

해커가,
rootfs 에 어떤 실행파일을 바꿔놨을지 알수 없으며,
"ps" 출력 목록 중, 어떤 이름으로 back door 가 돌고있는지 확인하기 상당히 힘듭니다.

playka의 이미지

할수만 있다면 포맷이 가장 좋은 방법이겠으나

이미 솔루션이 설치되어서 가동 중인 서버를 제 임의대로 포맷 할 수 없는지라.. ㅠ

일단 비인가 침입이 있었는지를 확인하고 싶은데 secure 파일엔 따로 원격 접속 성공 이력이 없으나,

messages 파일에 다량의 session 문자열이 들어간 이력이 있어서 이게 실제 접근이 된 건지 아니면 messages 파일에 남는 건 외부접근이 아닌 솔루션 운용상에 남을 수도 있는건지 궁금했습니다..

익명 사용자의 이미지

test라는 계정이 있는 것부터가 이미 불안한데요.

설마 하니 여쭙는 겁니다만 솔루션이 설치되어 가동 중인 서버에 id:test pw:test 혹은 그에 준하는 trivial한 계정을 만들어 남겨두신 건 아니겠죠?

playka의 이미지

저희나 솔루션 업체가 생성한 계정이 아니여서 비인가 접근이 있었다고 추측 한 부분입니다.

han002의 이미지

cpu 코어가 4개인가요?

그렇다면 400%정도까지(4core * 100%) 찍을 수 있습니다.

..

playka의 이미지

sar 명령어로 사용률 보는 것과 달리(최대 100%)

top 은 코어수에 따라 100%이상 표기가 되나 보군요;;
그럼 4코어 서버인 경우 top으로 보는 cpu 사용률이 30%로 나와도 실제 백분률로 환산 할 경우 7.5%가량 되겠네요..

익명 사용자의 이미지

top 명령어 실해 후, "1" 눌러보세요 그러면 코어당 사용률이 나옵니다.

playka의 이미지

이런 꿀팁 감사합니다!

김정균의 이미지

top 의 상단에 나오는 cpu 사용률은 100%를 넘어가지 않습니다.
하지만 process list 에 있는 CPU 항목은 cpu 개수 * 100 까지 나타냅니다. 즉, cpu 4개면 400% 까지 입니다.

댓글 달기

Filtered HTML

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

BBCode

  • 텍스트에 BBCode 태그를 사용할 수 있습니다. URL은 자동으로 링크 됩니다.
  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param>
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.

Textile

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • You can use Textile markup to format text.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Markdown

  • 다음 태그를 이용하여 소스 코드 구문 강조를 할 수 있습니다: <code>, <blockcode>, <apache>, <applescript>, <autoconf>, <awk>, <bash>, <c>, <cpp>, <css>, <diff>, <drupal5>, <drupal6>, <gdb>, <html>, <html5>, <java>, <javascript>, <ldif>, <lua>, <make>, <mysql>, <perl>, <perl6>, <php>, <pgsql>, <proftpd>, <python>, <reg>, <spec>, <ruby>. 지원하는 태그 형식: <foo>, [foo].
  • Quick Tips:
    • Two or more spaces at a line's end = Line break
    • Double returns = Paragraph
    • *Single asterisks* or _single underscores_ = Emphasis
    • **Double** or __double__ = Strong
    • This is [a link](http://the.link.example.com "The optional title text")
    For complete details on the Markdown syntax, see the Markdown documentation and Markdown Extra documentation for tables, footnotes, and more.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 사용할 수 있는 HTML 태그: <p><div><span><br><a><em><strong><del><ins><b><i><u><s><pre><code><cite><blockquote><ul><ol><li><dl><dt><dd><table><tr><td><th><thead><tbody><h1><h2><h3><h4><h5><h6><img><embed><object><param><hr>

Plain text

  • HTML 태그를 사용할 수 없습니다.
  • web 주소와/이메일 주소를 클릭할 수 있는 링크로 자동으로 바꿉니다.
  • 줄과 단락은 자동으로 분리됩니다.
댓글 첨부 파일
이 댓글에 이미지나 파일을 업로드 합니다.
파일 크기는 8 MB보다 작아야 합니다.
허용할 파일 형식: txt pdf doc xls gif jpg jpeg mp3 png rar zip.
CAPTCHA
이것은 자동으로 스팸을 올리는 것을 막기 위해서 제공됩니다.