Bonjour, j'ai un petit serveur sous Debian à la maison, dans l'ensemble il est de plus en plus stable mais j'ai toujours des problèmes inexpliqués sur celui ci. Je m'explique : de temps à autre la CPU monte à 100% pendant 15 à 30 min sans aucune raison (aucun transfert de fichiers, aucune tache CRON qui tourne ...) alors que d'habitude la CPU varie entre 0 et 10 % grand maximum, de plus j'ai l'impression qu'il broadcast à fond sur le réseau jusqu'à l'écrouler (les LEDS du routeur-switch correspondantes au port auquel est connecté le serveur clignote comme si je tranférais un gros fichier via le LAN alors que je ne fais strictement rien). La conséquence de cette charge inexpliquée est que le réseau s'éffondre, le serveur n'est donc plus accessible depuis l'exterieur, le routeur est très difficielemnt joignable depuis tous les postes du LAN (60 à 80% de perte de paquet sur la patte LAN), impossible d'aller sur Internet ...  
N'acceptant pas ce "bug", je me suis tournais sur le problème mais je n'arrive vraiement pas à comprendre le pourquoi de cette charge. Voici le résultat d'un "top" suivi d'un "shift+p" afin d'afficher les process qui bouffent de la CPU :
 
  5:41pm  up 58 days,  2:23,  1 user,  load average: 1.48, 0.74, 0.34
123 processes: 121 sleeping, 2 running, 0 zombie, 0 stopped
CPU states: 42.2% user, 57.7% system,  0.0% nice,  0.0% idle
Mem:   257072K av,  190352K used,   66720K free,       0K shrd,   14836K buff
Swap:  292752K av,  136168K used,  156584K free                   48704K cached
 
  PID USER     PRI  NI  SIZE  RSS SHARE STAT  LIB %CPU %MEM   TIME COMMAND
 3694 root      11   0  1616 1616  1356 R       0  0.3  0.6   0:00 top
 3702 nagios     9   0   512  508   456 S       0  0.1  0.1   0:00 check_ping
    1 root       8   0   148  116    92 S       0  0.0  0.0   1:17 init
    2 root       8   0     0    0     0 SW      0  0.0  0.0   0:00 keventd
 
Comme on peut le voir, "top" n'affiche aucun process qui bouffe les 100% de la CPU... quel est donc ce process ?
 
Pareil mais en faisant un "top" suivi d'un shift+m pour afficher l'utilisation mémoire par process (pour le fun) :
  5:42pm  up 58 days,  2:25,  1 user,  load average: 1.09, 0.81, 0.40
126 processes: 123 sleeping, 3 running, 0 zombie, 0 stopped
CPU states: 45.7% user, 54.2% system,  0.0% nice,  0.0% idle
Mem:   257072K av,  193868K used,   63204K free,       0K shrd,   15380K buff
Swap:  292752K av,  136152K used,  156600K free                   49368K cached
 
  PID USER     PRI  NI  SIZE  RSS SHARE STAT  LIB %CPU %MEM   TIME COMMAND
29726 amavis     9   0 39660  24M 18680 S       0  0.0  9.6   0:02 amavisd-new
 1970 amavis     9   0 39608  23M 14004 S       0  0.0  9.5   0:02 amavisd-new
 9199 www-data   9   0 11076 9.8M  8328 S       0  0.0  3.9   0:42 apache2
 7287 www-data   8   0 10712 9648  6900 S       0  0.0  3.7   0:38 apache2
27114 www-data   9   0 10588 9480  7236 S       0  0.0  3.6   0:38 apache2
 
 
Voyant l'importance de l'activité du réseau du le switch routeur, j'ai pensais que c'était peut etre la carte réseau qui déconnait (eth0), j'ai donc basculer l'accès réseu du serveur sur la 2eme carte réseau (eth1, inutilisée habituellement), mais le problème est le meme, après avoir activé eth1, tranféré la conf de eth0 sur eth1, shutté eth0 et branché le cable réseau sur eth1 l'activité sur le réseau reprend de plus belle.
A noter que pendant que j'ai déplugué le cable réseau, la CPU était toujours à 100% => j'ai donc abandonner l'idée que le problème pouvais provenir de la carte réseau.
 
A noter aussi qu'après les 15 à 30 min de folie du serveur tout revient à chaque fois dans l'ordre tout seul. La fréquence de ce bug est variable, cela peut arriver une à deux fois par jour comme ne pas arriver pendant 2 ou 3 jours.
 
Ne sachant plus ou chercher le problème, je poste un message sur le forum en espérant que quelqu'un puisse m'aider.

ton serveur est accessible du net ?
 
vérifie si il n'a pas été rootkité ( www.chkrootkit.org )

 
Oui en effet mon serveur est joignable depuis le net. Merci de l'info sur le rootkit car je ne connaissais pas cette pratique. Je vais vérifier cela.

.. et ouai il a été rootkité . Le pire c'est qu'apparament un rootkit ne s'enlève pas comme ça, même lorsqu'on sait quels fichiers sont infectés. Comment faire ?

 
rootkiter une machine sous linux c'est pas à la portée du premier venu quand même ? Je comprend mal comment ils font pour récupérer les droits root

rootkit = réinstallation.
 
Pas d autres solutions, tu ne seras jamais sur sinon.

 
Suffit que tu ne patches pas ton systeme, ou que tu laisses une faille évidente (ssh v1 non patché, script php unsafe, ftp mal configuré, etc...)

 
Meme en sachant par quel rootkit on est infecté,il y a pas d'autre moyen que d'éviter la réinstall ?

Non, tu as beaucoup d emmerdes qui peuvent apparaitre plus tard, comme des dormants, ou des portes dérobées, dans d autres services.
 
C est mon avis. Reinstaller un linux c est tres facile a la différence d un windows, gardes juste tes fichiers de conf et qq autres (genre grub.conf ou menu.lst, etc...).
 
Conseil d ami qui te veut du bien. Mais, apres tu fais ce que tu veux, c est ta machine  
 
Edit: surtout qu en plus tu dois savoir te prémunir des autres merdes, parce que rien n empeche au prochain attaquant de changer ton chkrootkit pour n y voir que du feu, et laisser le sien simuler un up.
 
Pour moi, c est beaucoup d audith et d emmerdes alors que reinstaller une box, ca prend au max grand max 2h.

 
Ouai je suis d'accord avec toi, je vais réinstaller ma bécane, ce sera le plus secure.  
En tout cas merci pour les réponses, ce soir j'ai appris des trucs qui m'ont troué le cul !