problema Samba + cpu 100%

Horst von Brand vonbrand en inf.utfsm.cl
Mar Ago 2 15:39:44 CLT 2005 

Roberto Leiva (Trabajo) <rlm en floresinternacional.cl> wrote:
> Tengo un Fedora Core 3 - kernel 2.6.12-1.1372_FC3
> 
> con Samba 3 version:
> 
> [root en Fc3SrvSmb ~]# smbd -V
> Version 3.0.10-1.fc3

> En este servidor esta instalado Cups 1.1.22. Existen clientes win 98, 2k,
> xp los cuales montan sus respectivas unidades e impresora (50 estaciones
> aprox), ademas clientes con linux que tambien montan unidades e impresora
> ( 50 + ).

> Esta semana la carga de CPU esta continuamente trabajando al 100%, siendo
> que no se ha hecho ningun cambio.  EL proceso en cuestion es el smbd que
> inicia el root (no es el proceso padre sino uno que se inicia al rato de
> haber levantado el servicio). Si bajo el servicio Samba cierra todos los
> procesos smbd , menos el que emplea el 100% cpu (no muestra ningun error
> la salida del comando service smbd stop, lo tengo que matar con kill).

Humm... eso es bastante sospechoso.

Que te dice para el proceso <pid> que te juega chueco:

    ls -l /proc/<pid>/exe

[Se me sospecha que "alguien" te esta corriendo un proceso que se hace
 pasar por smbd para ocultarse.]

[[Si, pueden haber millones de explicaciones legitimas tambien]]

[....]

> Preguntas:
> 
> Que puede estar pasando ? alguna ayuda ?

Veamos...

> Es posible ver realmente lo que esta realizando el proceso PID 3515 (
> lectura disco, escritura, sobre que cliente esta trabajando (mayor
> informacion) ?

Con gdb(1) puedes atacharte a un proceso en ejecucion y controlarlo.
Supongo que solo como root (cuidado!) en este caso. Con gcore (no tiene
manual aca) puedes crear un core del proceso:

  gcore <pid>

y analizar eso con calma.

La entrada /proc/<pid>/ contiene toda clase de informacion divertida sobre
el proceso del caso. Y un humilde strings(1) o nm(1), etc aplicados al
ejecutable sirven de mucho a la hora de investigar programas "raros".

> Sera problema de algun cliente que cause esto (virus troyano etc etc).

Puede ser. Bastante artesanal (hay maneras /mucho/ mas efectivas de ocultar
actividades nefastas), pero es lo que hay.

> PD: con los logs no pude aclarecer nada =(

Que revisaste de los logs?
-- 
Dr. Horst H. von Brand                   User #22616 counter.li.org
Departamento de Informatica                     Fono: +56 32 654431
Universidad Tecnica Federico Santa Maria              +56 32 654239
Casilla 110-V, Valparaiso, Chile                Fax:  +56 32 797513

Más información sobre la lista de distribución Linux