Guest User!

You are not Sophos Staff.

Thread Info
  • State Not Answered
  • Replies 29 replies
  • Subscribers 0 subscribers
  • Views 13039 views
  • Users 0 members are here
Options
Suggested

[9.190][BUG] High CPU load after Up2Date

scorpionking
After installing the current Up2Date package 9.190, my system stays at 100% CPU load.
Top processes are "pfilter-reporter.pl" and "ips-reporter.pl":

root      3106  0.1  0.6  65208 49728 ?        Ss   16:13   0:01 confd [master]
root      3107  0.0  0.0   1896   536 ?        S    16:13   0:00  \_ logger -p daemon.debug -t confd[3106]
root      3236  0.1  0.5  64900 46392 ?        S    16:13   0:01  \_ confd [listener]
root      8469  0.0  0.5  64900 46876 ?        S    16:17   0:00      \_ confd [worker[:P]rpc:system]
root      9410  0.4  0.6  73716 55800 ?        S    16:19   0:02      \_ confd [worker[:P]rpc:webadmin]
root     13413  0.0  0.0   2716   960 ?        R    16:27   0:00      |   \_ ps auxwf
root      9502  0.4  0.7  77240 59612 ?        S    16:19   0:02      \_ confd [worker[:P]rpc:webadmin]
root     13409 56.2  0.0      0     0 ?        Z    16:27   0:00      \_ [confd.plx] 
root      3124  0.0  0.0   1896   440 ?        Ss   16:13   0:00 /usr/local/bin/confd-queuer



root      4520  1.2  0.0   8384  4724 ?        Ss   16:13   0:10  \_ /usr/sbin/syslog-ng -f /etc/syslog-ng.conf
root      4531  0.1  0.3  29400 27188 ?        S    16:13   0:00      \_ /usr/bin/perl /usr/local/bin/reporter/admin-reporter.pl
root      4534  0.0  0.1  13456 11332 ?        S    16:13   0:00      \_ /usr/bin/perl /usr/local/bin/reporter/mailsec-reporter.pl
root      4536  0.0  0.0  59156  2324 ?        Sl   16:13   0:00      \_ /usr/local/bin/reporter/websec-reporter.pl
root      4537  0.0  0.0  58016  1356 ?        Sl   16:13   0:00      \_ /usr/local/bin/reporter/websec-reporter.pl -e
root      4538  0.0  0.1  14052 12036 ?        S    16:13   0:00      \_ /usr/bin/perl /usr/local/bin/reporter/waf-reporter.pl
root      6999  0.0  0.0  36660  1396 ?        Sl   16:14   0:00      \_ /usr/local/bin/reporter/vpn-reporter.pl
root     13401 72.4  0.2  24048 21848 ?        R    16:27   0:01      \_ /usr/bin/perl /usr/local/bin/reporter/pfilter-reporter.pl
root     13408 52.3  0.2  20796 18520 ?        R    16:27   0:00      \_ /usr/bin/perl /usr/local/bin/reporter/ips-reporter.pl


The Fallback messages log is full of these entries:
2013:12:19-16:23:28 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:23:30 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:23:32 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:23:34 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:23:36 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:23:38 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:23:40 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:23:42 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:23:45 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:23:47 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:23:49 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:23:51 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:23:51 vpn [daemon:info] admin-reporter.pl:  INFO - confd_sessions: $VAR1 = [
2013:12:19-16:23:51 vpn [user:notice] 'qtyishTWudaqmdemilva', 
2013:12:19-16:23:51 vpn [user:notice] '192.168.81.198', 
2013:12:19-16:23:51 vpn [user:notice] 'admin', 
2013:12:19-16:23:51 vpn [user:notice] '2013-12-19  16:19:11',
2013:12:19-16:23:51 vpn [user:notice] '2013-12-19  16:19:11',
2013:12:19-16:23:51 vpn [user:notice] undef 
2013:12:19-16:23:51 vpn [user:notice] ]; 
2013:12:19-16:23:51 vpn [daemon:info] admin-reporter.pl:  INFO - confd_sessions: $VAR1 = [
2013:12:19-16:23:51 vpn [user:notice] 'TUrWBUFtTltTrEpfbVAF', 
2013:12:19-16:23:51 vpn [user:notice] 'system', 
2013:12:19-16:23:51 vpn [user:notice] '127.0.0.1', 
2013:12:19-16:23:51 vpn [user:notice] 'count_active_ip.plx', 
2013:12:19-16:23:51 vpn [user:notice] '2013-12-19  16:23:20',
2013:12:19-16:23:51 vpn [user:notice] '2013-12-19  16:23:20',
2013:12:19-16:23:51 vpn [user:notice] 'timeout' 
2013:12:19-16:23:51 vpn [user:notice] ]; 
2013:12:19-16:23:51 vpn [daemon:info] admin-reporter.pl:  INFO - confd_nodes: $VAR1 = [
2013:12:19-16:23:51 vpn [user:notice] 'iLgItPPuxgxleDzdcxYp', 
2013:12:19-16:23:51 vpn [user:notice] '2013-12-19  16:14:06',
2013:12:19-16:23:51 vpn [user:notice] 'customization->epp->last_updated', 
2013:12:19-16:23:51 vpn [user:notice] '1387466021', 
2013:12:19-16:23:51 vpn [user:notice] '1387367389' 
2013:12:19-16:23:51 vpn [user:notice] ]; 
2013:12:19-16:23:53 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:23:55 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:23:57 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:23:59 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:24:02 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:24:04 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:24:06 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:24:08 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:24:10 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:24:12 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:24:14 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:24:16 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:24:18 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:24:20 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting
2013:12:19-16:24:22 vpn [daemon:info] pfilter-reporter.pl:  INFO - *** pfilter-reporter starting


The system is in this state for about 20 minutes now. Everything seems to work, but is very slow.
I have not rebooted it in case this might destroy some information...

Any other logs I should post?

edit: I updated from 9.186.
Parents
  • 0
    Malware

    Could this have been the cause of the High CPU load that we were seeing, if that is the case why didnt the AV pick it up. went to some of the websites that cause the high cpu and packet, packet and cpu % are normal no spikes, also the the pages are serving ads.yahoo.com.
     
    Malware served via Yahoo affected millions 

    This malware program is causing click fraud and causes high CPU usage. It runs multiple hidden web browser processes to open web pages with ads belonging to the affiliate ID of the criminal. The program is started each hour through the Windows Task Scheduler:

    Malware served via Yahoo affected millions |
Reply
  • 0
    Malware

    Could this have been the cause of the High CPU load that we were seeing, if that is the case why didnt the AV pick it up. went to some of the websites that cause the high cpu and packet, packet and cpu % are normal no spikes, also the the pages are serving ads.yahoo.com.
     
    Malware served via Yahoo affected millions 

    This malware program is causing click fraud and causes high CPU usage. It runs multiple hidden web browser processes to open web pages with ads belonging to the affiliate ID of the criminal. The program is started each hour through the Windows Task Scheduler:

    Malware served via Yahoo affected millions |
Children
  • 0 in reply to Knome
    Malware

    Could this have been the cause of the High CPU load that we were seeing, if that is the case why didnt the AV pick it up. went to some of the websites that cause the high cpu and packet, packet and cpu % are normal no spikes, also the the pages are serving ads.yahoo.com.
     
    Malware served via Yahoo affected millions 

    This malware program is causing click fraud and causes high CPU usage. It runs multiple hidden web browser processes to open web pages with ads belonging to the affiliate ID of the criminal. The program is started each hour through the Windows Task Scheduler:

    Malware served via Yahoo affected millions |


    i doubt it.  this is a bug not an external hammering thing.  Besides if you had the suspicious category blocked you wouldn't have had this issue due to the ads being blocked anyway..[:)]

    Owner:  Emmanuel Technology Consulting

    http://etc-md.com

    Former Sophos SG(Astaro) advocate/researcher/Silver Partner

    PfSense w/Suricata, ntopng, 

    Other addons to follow

Share Feedback
×

Submitted a Tech Support Case lately from the Support Portal?