CSF / LFD-nginx + php5-fpm + Mysqlを実行しているときに疑わしいプロセス

Question

3台のサーバーでLFD/CSFを実行していますが、サーバーをセットアップしてLFD/CSFをインストールした初日から、すべてのサーバーで同じ問題が発生しています。

Nginx + php5-fpm + MySQLがインストールされており、lfd.logファイルに警告が表示されます。

Jan 3 00:21:57 pro1646 lfd[31599]: *Suspicious Process* PID:30238 User:www-data Uptime:7300 secs EXE:/usr/sbin/php5-fpm CMD:php-fpm: pool www Jan 3 03:21:01 pro1646 lfd[833]: *Suspicious Process* PID:1296 User:mysql Uptime:18814003 secs EXE:/usr/sbin/mysqld CMD:/usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --plugin-dir=/usr/$ Jan 3 03:21:01 pro1646 lfd[833]: *Suspicious Process* PID:25999 User:www-data Uptime:7237713 secs EXE:/usr/sbin/nginx CMD:nginx: worker process

これらの警告を取り除くにはどうすればよいですか？メールアドレスに重要な警告を出したいのですが、メールが止まらないのでできません...

ありがとう。

user1821484 · Answer

/etc/csf/csf.pignoreファイルに次の行を追加する必要があります。

exe:/usr/sbin/php5-fpm exe:/usr/sbin/nginx exe:/usr/sbin/mysqld

karvonen · Answer

php-fpmをcsf.pignoreリストに追加しましたが、後で削除しました。何が起こったのかというと、私は警告を無視し、最終的にhttpサーバーにアクセスできない状態になってしまいました。次のようなnginxエラーが見つかりました。

 2017/06/26 09:39:13 [アラート] 12926＃0：* 110350オープンソケット＃10が接続4に残っています 2017/06/26 09:39:13 [アラート] 12926＃0：* 110342オープンソケット＃103が接続7 に残っています2017/06/2609：39：13 [アラート] 12926＃0：* 110352オープンソケット＃6が接続8 [.____に残っています。 ] 2017/06/26 09:39:13 [アラート] 12926＃0：* 110346オープンソケット＃109が接続9に残っています

これらは、デジタルエージェンシーのモロンのグループによる非常に非常に悪いWordpressインストールが原因であるように思われました。サイトを再び機能させるには、php-fpmを再起動する必要がありました。再起動する前に、まさに顧客が所有するphp-fpmのインスタンスを1つ見ることができました。

WPインストールの修復を試みることにほとんど（=まったく）関心がないので、そのサイトを安価なサーバーに移動します。