ComputerBase Menü
Aktuelles

TSM command benötigt 100% CPU?

D

DreamGamer

Lieutenant
Registriert
Feb. 2017
Beiträge
543
Hallo, ich nutze seit mittlerweile 5 Jahren einen Linux[Debian 9] Server. Dort läuft ein Webserver, eine Datenbank und ein Teamspeak Server. Seit mittlerweile 20 Tagen lädt aber nichts mehr auf diesem Server ich habe mit dem command "top" gesehen das ein Prozess namens "tsm" konstant 99,8% CPU Leistung zieht auf dem User "teamspeak". Ich habe meinen Server schon mehrmals neugestartet und auch wenn alle "Server" aus sind, zieht der Prozess alles. Weiß einer was dies ist? bzw. wodurch dieser kommt?

MFG DreamGamer
 
@DorMoordor Ja, das habe ich bereits dort kommen Sachen zur Datenbank aber ich wüsste nicht das ich tsm benutze. Unter dem Teamspeak Server läuft auch ein Sinusbot könnte der vllt. tsm benutzen? Aber immerhin läuft tsm auch, wenn dieser Server ebenfalls auch ist. Aber tsm steht ja unter command also sollte wie es auch im Internet steht die Version stehen bei dem command "tsm version". Dort kommt aber nur "bash: tsm: command not found". Ist das so normal?
 
Hast du htop installiert? Dort kannst du mit F5 den Tree view einschalten und kannst sehen was von was abhängig ist.
 
@DorMoordor oh cooles Tool kannte ich noch garnicht :=) Dort sehe ich das es dieser Prozess ist:
Code: 
 /tmp/.X21-unix/.rsync/c/lib/64/tsm --library-path /tmp/.X21-unix/.rsync/c/lib/64/ /usr/sbin/httpd rsync/c/tsm64 -t 559 -f 1 -s 12 -S 8 -p 0 -d 1 p ip
Nur sagt mir das nichts und im Internet finde ich nichts direktes dadrauf. Was könnte denn .X21-unix sein?
Ergänzung ()

Wenn ich nur "/tmp/.X21-unix/.rsync/c/lib/64/tsm" suche kommen nur sehr viele "Virus" Nachrichten bei Google was jetzt nicht so geil klingt.
Ergänzung ()

Vllt. sollte ich erwähnen, dass ich bei dem Anbieter OVH bin der ja eine DDoS Protektion hat. Ich bin nämlich auf das alles aufmerksam geworden, nachdem ich mehrere E-Mails bekomme habe das mein Server angegriffen wurde.
 
Als Linux Admin kann ich nur sagen dass ich den Server dicht gemacht hätte bevor ich in Google nach diesem Befehl suche, wenn ich diese Befehlszeile sehe...

.X21-unix wäre der temporäre Ordner für eine X Sitzung, genauer für den Display :21.
Ich meine dass ist alles nur Verschleierung. Tatsächlich ausgeführt wird die binary tsm im Verzeichnis /tmp/.X21-unix/.rsync/c/lib/64/tsm
Der Pfad macht absolut keinen Sinn. Das ist nichts offizielles. Also meiner ersten Meinung nach...
 
  • Gefällt mir
Reaktionen: Wochenende und Der Lord
Sieht nach rsync aus, ist ein backup programm. Keine Ahnung ob du ein automatisches Backup laufen hast?
Schau dir mal den rsync Befehl genauer an. Es könnte sein, dass da ein Backup versucht wird und das schief läuft

Ja ich würde den auch dicht machen, wenn man sieht was da so auf Google steht.
 
@Coolinger Wieso denn das?

@DorMoordor Ich nutze keine Backup-Programme. Diese mache ich immer Manuel über meinen Server anbieter selbst. Im internet steht überall, es könnte ein Virus sein der CPU Leistung fürs mining nutzt. Aber wie kann ich dies herrausfinden / überprüfen, ohne den Server komplett neu aufzusetzen?
 
Defintiv was eingefangen, ggf. sogar gekarpert.

Poweroff, sauberes Backup einspielen sofern vorhanden, ansonsten alles neu. Und bisschen mit dem Thema Linux und Sicherheit beschäftigen scheint auch sehr ratsam zu sein.
 
@Der Lord ich habe extra für jeden Prozess einen eigenen Benutzer der auch nur da drauf rechte hat. Zudem sind alle Passwörter so kompliziert, dass ich mir die unmöglich merken kann. Wo drüber könnte ich dann angegriffen worden sein? Ich überlege, ob über den Teamspeak Server, da am selben Tag, an dem alles angefangen, hat der, Teamspeak angegriffen wurde und gecrasht wurde. Gibt es in der Hinsicht Port technisch Sicherheitslücken? Und das stimmt, genug kann man ja nie dazu lernen :=D Wenigstens hatte ich 5 Jahre lang nicht :D
 
Welche Rechte hat denn der Teamspeak User? Wenn der sudo oder root Rechte hat kann das schon sein.

Bzw. habe noch mal deinen Startpost gelesen: Ja definitiv. Denn das Programm wird ja vom teamspeak user ausgeführt
 
@DorMoordor Oh ich habe mich verlesen sehe ich gerade, ich habe damals doch 2 Unterschiedliche User angelegt die fast gleich heißen einen für Teamspeak und einen für den SinusBot der Musik auf dem Teamspeak spielt und der befall ist auf dem SinusBot Account. Das hätte ich am wenigsten gedacht. Dieser Account hat nur rechte im "/opt/sinusbot/" Ordner sonst nirgendwo. Dieser muss ja dann dort drüber ins System gekommen sein. Sinusbot nutzt ja auch Ports dadurch vllt.? Oder eine direkte Sicherheitslücke beim SinusBot? Ich bin auf jedenfall froh damals für jede Kleinigkeit einen eigenen Nutzer erstellt zu haben. Kann der Nutzer an Root rechte kommen durch diese Aktion?: Ich habe mit Root einen Screen erstellt mich dort in den User eingeloggt und dort alles ausgeführt. Kann dieser da drüber Root rechte bekommen haben da der Screen mit Root lief?
 
Puh das ist ne gut Frage, schau dir mal die /etc/group an. Da stehen die Gruppen und die Nutzer die entsprechende Rechte dafür haben.

Edit: Aber normalerweise eigentlich nicht
 
@DreamGamer
Wirf die tsm-Datei doch mal bei Virustotal ein, dann kriegt der Gast vielleicht einen Namen. :)

Zusatz:
lsof | grep tsm
Könnte einen Überblick über die Aktivitäten des Schadprogramms geben.
 
@Wochenende Oh danke :D Sehe direkt das es ein "Trojan:Linux/CoinMiner!rfn" ist. Und habe auch eine Adresse zu dem dies geschickt wird. Kann man dadurch nicht herrausfinden an wen dies geht? Also dies zur Anzeige stellen?
Ergänzung ()

Obwohl ne, das müsste ja Adresse sein an die, die Berechnungen gehen. Aber einen weg den Ursprung zurückzuverfolgen gibt es nicht, oder?
 
So der Trojaner ist erstmal unten(Habe ihn mir natürlich gespeichert und eingerahmt) jetzt sichere ich alles :=) Danke euch für die Hilfe nur überlege ich immer noch wie könnte er auf den User gekommen sein. Ich denke fast mein Passwort war dort zu schwach das war der einzige Account bei dem ich mein privates Passwort genutzt habe(Warum auch immer ich so dumm war), dass vor 1 Jahr geleakt wurde, da ich leider vergessen habe es auf meinem Server zu ändern, denke ich mal das er dadurch ins System kam. Aber theoretisch müsste man doch dann im last Login seine IP-Adresse sehen, oder? Falls ja, könnte ich etwas damit anstellen? Ich denke mal, dies zur Anzeige zu bringen wird nicht viel gegen unbekannt bringen, oder?
 
Na wenn dein Passwort im Internet kursiert, hat der wahrscheinlich beim Angriff einfach ne Liste bekannter Passwörter getestet und du hattest Pech oder wie man es sonst nennen will
 
@DorMoordor also mein Passwort bestand aus 2 Wörtern, beide Wörter waren am anfang großgeschrieben und am Ende gab es 16 Zahlen mit 2 Sonderzeichen :D Also das findet man eher schlecht in einer Passwort-liste, oder? Wenn müsste er mich ja gezielt angegriffen / infiziert haben, oder?
 
DreamGamer schrieb:
Ich denke fast mein Passwort war dort zu schwach das war der einzige Account bei dem ich mein privates Passwort genutzt habe(Warum auch immer ich so dumm war), dass vor 1 Jahr geleakt wurde,
Zum Vergrößern anklicken....
Das sagt mir, dass dein Passwort in fast jeder Passwortliste zu finden sein wird, die aktuell im Internet zu finden ist und die werden dann auch genutzt...
 
  • Gefällt mir
Reaktionen: Der Lord
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

B
diy desktop build reliability tipps benötigt amd tr 3970x als gaming baremetal, gaming vm, virtualisieren allg. win 11 & proxmox
Antworten
11
Aufrufe
1.641
bye
B
S
csrss.exe 100% CPU
Antworten
0
Aufrufe
1.238
scorpiono
S
G
Norton Ghost 2003 - Command Line Parameter benötigt u. BootCD
Antworten
0
Aufrufe
1.721
GermanKraut77
G

Passend zum Thema

Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz