покажи /etc/crontab

проверял все кронтабы пользователей все Ок

/etc/crontab: system-wide crontab

Unlike any other crontab you don’t have to run the `crontab’

command to install the new version when you edit this file

and files in /etc/cron.d. These files also have username fields,

that none of the other crontabs do.

SHELL=/bin/sh PATH=/usr/local/sbin:/usr/local/bin:/sbin:/bin:/usr/sbin:/usr/bin

m h dom mon dow user command

17 * * * * root cd / && run-parts –report /etc/cron.hourly 25 6 * * * root test -x /usr/sbin/anacron || ( cd / && run-parts –report /etc/cron.daily ) 47 6 * * 7 root test -x /usr/sbin/anacron || ( cd / && run-parts –report /etc/cron.weekly ) 52 6 1 * * root test -x /usr/sbin/anacron || ( cd / && run-parts –report /etc/cron.monthly )

10 0 * * * root /root/scripts/backup-mysql.sh 20 0 * * * root /root/scripts/backup-postgres.sh

Поищи в процессах процесс с названием из 10 символов (меняются при перезапуске). Есть ботнет который брутфорсит ssh. Можно подцепить, если стоит пароль вроде 12345, но лечится легко (можно нагуглить решение).

Останови сервер проверь хеши всех установленных пакетов.

Можешь скриптом снимать сетевые подключения каждую секунду и поискать подозрительные процессы, но если добрались до рута - лучше разверни сервер с нуля.

пароли стоят надежные

сейчас раз в 10 мин снимаю netstat и пишу в файл

да уж, лаки...

Заббик показывает нагрузку load avarage до 2. Как только захожу по ssh нагрузка падает. load avarage становиться ближе к 0

прикольно! :)

можно зайти не по ssh, а через обычный терминал (монитор, клава); или можно зайти и оставить в фоне выполняться такой скрипт:

# while true; do top -bn1 >> /tmp/top.log; sleep 10; done

потом через пару минут снова зайти и смотреть лог

сервер виртуальный на удаленке

tshark детачнутым оставь минут на 20.

в виртуалку тоже можно подключаться локально без ssh

сервер виртуальный на удаленке

Как VPN-шлюз не используется?

нет

подключался через консоль хостинг оператора, по квм наверное. Эффект такой же как и через ssh

ну, если вирус такой хитрый, что отслеживает логин админа, и именно он создает серьезную нагрузку на проц, то я дал способ залогировать топ

Логгирую но не всегда сразу повышаеться нагрузка после выхода. Жду пока

ну и отлично! сообщи, что нароешь, нам тоже интересно :)

Если он такой хитрый, то и top уже патченный. Заббикс не умеет список процессов показывать?

не на столько, чтобы патчить top, иначе uptime тоже был бы уже патченный, или чем там заббикс нагрузку снимает…

Начни с этого: netstat -et

И все равно, я бы начал с анализа трафика - вдруг кто-то в сети хостера использует Ваш сервер как шлюз. Запустите снифер на разных интерфейсах и посмотрите источник пакетов, идущих на 22 порт. Заодно выясните, есть ли корреляция между повышенной загрузкой и сетевой активностью.

нашол в tmp какойто непонятный файл

#!/bin/sh if ps aux | grep -v grep | grep -v «/tmp/zmreplchk.» | grep «/tmp/zmreplchk» > /dev/null; then echo «/tmp/zmreplchk running» else echo «/tmp/zmreplchk nohup» chmod 755 /tmp/zmreplchk nohup /tmp/zmreplchk > /dev/null 2>&1 & fi

А что пишут в гугле по поводу этого непонятного «zmreplchk»? У меня гугл забанили.

https://forums.zimbra.org/viewtopic.php?t=65932&start=230#p292214

I fight with this problems over a months.
It will automatic regenerate a file
«zmcpustat, zmcpustarter, zmwatchdog....» in /opt/zimbra/log «zmiostat .....» in /var/tmp
«zmreplchk, zmreplchk_pid....» in /tmp

Как найти какой процесс генерит трафик. Все что нашел в интернете не показывает номер процесса

Вроде нашел причину. Взломали через solr-4.10

Пришло очередное уведомление от провайдера. Как раз ишел трафин Нашел скрытые процессы через програмку unhide