ringa_lee2017-04-17 15:04:14
貌似是你系统的crond+sendmail的锅?
而且你这个ls -l |grep "^-"|wc -l为何不使用find -type f|这种呢。。
update: /www/web/xxx_com/public_html/includes/msn/1.sh这个是什么?
PHP中文网2017-04-17 15:04:14
用 systemtap 或者 audit 记录一下是什么程序弄出来的吧。当然如果它生成得很频繁,用 sysdig 也可以弄到。
也可以打开 htop 看看有哪些进程,然后猜猜看(可以按 u 然后选用户)。然后去 strace 看看运气够不够好。
天蓬老师2017-04-17 15:04:14
问题解决了,说下过程:
在4月底的时候,网站中过木马,当时通过排查把木马删除了。
就在前天,早上一来发现网站账号登不进付出了,经验判断是由于服务器满了,df -h一看,磁盘占用51%,再看一下节点数确实是满了。
接下来找到/var/spool/clientmqueue里面有大量的qfu-xxxx这样的零碎文件。用ll都会死机。于是手工删掉了,可是不到几个小时,又是上万个。
接下来就是经过漫无目的搜索,也没有找到好办法,通过别人的一些文章,大概感觉是因为一个什么程序调用sendmail,但sendmail根本没有安装,所以产生大量的日志。
就在刚才,突然想起去看看那些零散文件中写的是什么,www cron sendmail这几个忘带提醒了我,跑到www的crontab看看,有几十条调用/www/web/xxx_com/public_html/includes/msn/1.sh的记录。
删掉,问题解决。