【问题标题】:A lot of tracepath commands of postgres user [closed]postgres用户的很多tracepath命令[关闭]
【发布时间】:2020-05-07 06:11:24
【问题描述】:

为什么 postgres 用户生成超过 1000 个 tracepath 命令进程?
这会占用大量 CPU 资源——我的进程核心使用率高达 40%。

我在 ASP.NET Core 3.1 和 PostgreSQL v10 服务器上的应用程序位于一台 VPS 服务器上。
应用程序使用主机 127.0.0.1 连接到 PostgreSQL 服务器。

这个命令在做什么?

htop 输出:

UPD:21.01.2010

我在我的服务器上检测到大规模 DDoS 攻击。攻击者使用了我没有的 root 和其他名称。

我安装了fail2ban,1-2 小时后我看到了这个:

而且禁令数量正在增加......

UPD:22.01.2020

我还有一个问题:在 postgresql 用户名上创建幻象进程。它正在使用我所有的 CPU 和 RAM...

【问题讨论】:

    标签: linux postgresql asp.net-core vps


    【解决方案1】:

    我不认为你在 DDOS 下。您已被黑客入侵,并且现在可能正被用来对其他人实施 DDOS。他们已经放弃了一个 shell 启动器,它可以让他们连接到 postgresql,然后调用一个函数来启动他们想要的任意 shell 脚本。

    您说“应用程序使用主机 127.0.0.1 连接到 PostgreSQL 服务器”,但攻击者使用的是什么?是否允许 127.0.0.1 以外的任何人连接?

    我正在安装 fail2ban,1-2 小时后我看到了这个:

    任何在端口 22 上打开并运行 fail2ban 的服务器都会建立一个禁止 IP 列表。您之前没有注意到它,因为您之前没有运行 fail2ban。这不太可能与您所看到的其他任何事情有关。对 22 的攻击如此普遍,以至于记录它们可能没有用。

    【讨论】:

    • 我只在我的连接字符串中使用 127.0.0.1。我不知道如何检查其他进程和程序的本地 IP 地址的访问权限(因为我是 sysadmining 中的菜鸟:`))
    • 但是这种情况给了我很多配置服务器安全的经验。我重新安装了我的服务器操作系统,现在我首先配置安全性。感谢您的回复!
    猜你喜欢
    • 1970-01-01
    • 2015-10-14
    • 1970-01-01
    • 2020-02-02
    • 1970-01-01
    • 1970-01-01
    • 2016-11-10
    • 1970-01-01
    • 2021-05-27
    相关资源
    最近更新 更多