У меня установлен csf на сервере Debian, который использует nginx + php5-fpm, и я вижу их много
lfd [23293]: Подозрительный процесс PID: 16998 PPID: 16122 Пользователь: www-data Время работы: 824 секунды EXE: / usr / sbin / php5-fpm CMD: php-fpm: pool www
lfd [23293]: Подозрительный процесс PID: 17053 PPID: 16122 Пользователь: www-data Время работы: 822 секунды EXE: / usr / sbin / php5-fpm CMD: php-fpm: pool www
lfd [23293]: Подозрительный процесс PID: 17113 PPID: 16122 Пользователь: www-data Время работы: 818 секунд EXE: / usr / sbin / php5-fpm CMD: php-fpm: pool www
lfd [23293]: Подозрительный процесс PID: 17114 PPID: 16122 Пользователь: www-data Время работы: 818 секунд EXE: / usr / sbin / php5-fpm CMD: php-fpm: pool www
в /var/log/lfd.log. В то время как нагрузка на сервер странно высока (+100), ldf часто поднимается вверх в списке использования ЦП. Мне интересно, сигнализирует ли это о каком-то векторе атаки, и если да, то как ему противостоять?
Хотя на этом сайте можно обоснованно отреагировать на ваше подозрение, решение вашей проблемы больше подходит для Суперпользователь, или лучше, ServerFault.
Обычно это не о чем беспокоиться, на вас никто не нападает. Это типичный Межсетевой экран ConfigServer Security ЛДФ ложноположительный. При каждом подключении новый php5-fpm
instance создается, поэтому вы видите так много записей.
Чтобы решить эту проблему, просто добавьте exe:/usr/sbin/php5-fpm
на ваш /etc/cfs/cfs.pignore
.
Я традиционно добавляю эти строки в каждый файл /etc/csf/csf.pignore сервера, который я настраиваю:
# sineld
exe:/usr/sbin/php5-fpm
exe:/usr/sbin/nginx
exe:/usr/sbin/mysqld
exe:/usr/bin/redis-server
exe:/sbin/rpcbind
exe:/usr/sbin/dnsmasq
exe:/sbin/rpc.statd