3

Задался вопросом, а не обманывает ли часом меня компания, предоставившая за мои кровные мне VPS. Суть проблемы:
Давеча отвалился SSH. Оказалось, остановился сервер SSH. Попытка запуска окончилась выдачей ошибки:

Failed to start service :

/etc/init.d/ssh: xmalloc: ../bash/parse.y:5874: cannot allocate 394264557 bytes (1073799168 bytes allocated)

Короче, что-то про память.
Отключил все основные сервисы, кроме BIND DNS Server, ситуация повторилась.
По статистике работающих процессов имеется итог:

Real memory: 1024 MB total / 984.53 MB free / 252.34 MB cached Swap space: 256 MB total / 175.56 MB free

Почти вся память свободна, но по уверениям техподдержки не хватает памяти и надо повышать план. Логичен вопрос в моей голове, а как же изначально этот SSH сервер запустился в принципе? Уж ли не обманывают ли меня, вынуждая отдать им больше деньжат?

Вот еще проблема. К сожалению, я всего лишь посредственный пхп-программист и в линукс-администрировании профан-профаном. Но вот скрин из файлового менеджера. Наверху часть файлов с датой от 21 октября. Не являются ли они странными? Да и сам файл ssh 300 мб весит. Это нормально?

alt text

12
  • @Димка, если вас не затруднит, укажите потом главного героя этой истории.
    – VenZell
    23 окт 2014 в 5:45
  • Да, если ребята не смогут или не захотят ответить на пару моих "албанских" вопросов, то придется с ними расстаться. А может даже написать короткий роман о наших "отношениях" :)))
    – Димка
    23 окт 2014 в 5:57
  • 1
    Вообще если я не ошибаюсь, то ssh чуть выше просит 400 метров памяти. Это ни разу не нормально, и надо действительно посмотреть содержимое /etc/init.d/ssh и попробовать переустановить sshd (только это надо делать очень осторожно, чтобы не оставить сервак без контроля).
    – etki
    23 окт 2014 в 6:18
  • 1
    @Димка, это 99% взлом, скрипт по запуску ssh весит < 4кб. Попробуйте скачать вот эту шляпу вместе со всеми sed* файлами для анализа, затем удалить и установить заново ssh.
    – etki
    23 окт 2014 в 6:37
  • 1
    Да, вас таки хакнули. Я бы целиком виртуалку откатил к какому-либо бэкапу.
    – mantigatos
    23 окт 2014 в 6:37

1 ответ 1

2

как уже и обсудили в комментариях, судя по приведённой на картинке информации, машина взломана.

в частности, вместо скрипта запуска /etc/init.d/ssh лежит неизвестного происхождения бинарный файл, и разбираться, почему этому бинарному файлу не хватает оперативной памяти, абсолютно бессмысленно.

Ваш ответ

By clicking “Отправить ответ”, you agree to our terms of service and acknowledge you have read our privacy policy.

Всё ещё ищете ответ? Посмотрите другие вопросы с метками или задайте свой вопрос.