Unbekannter TAR Befehl lastet System aus

[erootix]

Hallo Zusammen,

bei mir wir seit ein paar Tagen immer wieder das System durch ein TAR Befehl ausgelastet. wenn ich top eingebe sehe ich so etwas wie das hier:

Code: Select all

  PID USER     PRI  NI  SIZE  RSS SHARE STAT %CPU %MEM   TIME CPU COMMAND
21083 apache    25   0   528  528   460 R    46.2  0.0  96:54   0 tar
27994 apache    25   0   172  124   104 R    44.2  0.0 781:40   0 tar

Wenn ich die 2 Prozesse (meistens ist es aber nur ein Prozess) kille dann ist alles wieder in ordnung. Ich weiß nicht woher das kommt, bei den Cron Aufträgen habe ich schon geschaut, da steht nichts von TAR, allerdings ein Cron führt eine CGI aus die binär ist und ich nicht weiß was die eigentlich will..

Wo könnte ich sonst noch nachschauen außer den Crons?
Mein Sys: Redhat EL 3, Apache, Apache 2.0.46. Ich nutze u.a. auch Typo3.7

Danke im Voraus, mIke.

[snowball]

Wie viele Admins gibt es denn für den Server? Will sagen, wenn du der einzige bist und nicht weißt was das CGI macht, deaktiviere es doch mal testweise.
Was sagen denn die Logfiles?
Kannst du die Zeit eingrenzen, in der das tar gestartet wird?
Wie sieht es mit 'ps aux' aus? Gibt es da weitere Infos?
Könnte es sein, das das nicht durch Cron gestartet wird, sondern beim Systemstart?

greets Jochen

[andreask2]

Ich würde mal vermuten, dass irgendjemand eine Lücke im Apache, bzw. in einem vom Apache ausgeführten Script gefunden hat, und munter irgendwelche Dinge auf Deine Rechner treibt.

Per Cron ein CGI zu starten ist IMHO recht sinnfrei. Unter welchem User denn? Wo genau steht denn der conjob?

[alexander newald]

Steht doch oben, als "apache".

Aus dem PS die Pid auslesen und dann

cat /proc/<PID>/cmdline

&

lsof -p <PID>

anschauen und gegebenfalls posten.

[andreask2]

Steht doch oben, als "apache".

Ich dachte "da steht nichts von tar drin"?!

[Joe User]

Code: Select all

ps auxf | grep tar

[erootix]

Danke für die Antworten,

bis jetzt ist noch alles in Ordnung, aber morgen früh bestimmt oder heute abend wird die CPU wieder ausgelastet sein da ich es ja jeden Tag kille, wenn das passiert werde ich es mal genauer mit ps -ax unter die Lupe nehmen und hier weiter posten.

Am CGI im Cron liegt es nicht da ich das CGI manuell gestartet habe und das ohne Auslastung..

Danke nochmal, Mike.

[erootix]

OK, alles klar, lag doch an dem CGI Script.. sollte irgendein Backup sein als Root funzt des.. als apache wohl nicht.. egal, brauch ich nicht ;)..

Code: Select all

ps auxf | grep tar

hat alles gezeigt.

Ciao+Danke, Mike

[nils]

genau, backup ist was fuer weicheier und warmduscher *g*

[mav1000]

genau, backup ist was fuer weicheier und warmduscher *g*

bis mal was passiert, dann ist das Geschrei gross 8O

gruß

mav1000