Mengnonaktifkan LFD CSF : Excessive resource usage

Buat yg belum tahu tentang CSF dan cara installnya silahkan baca di link ini.
Setelah CSF terinstall dan berjalan di server, biasanya CSF akan mengirim email tentang notifikasi proses yg mencurigakan ke admin server.

Adalah tugas admin, untuk memeriksa apakah notifikasi ini bisa diabaikan alias false alarm atau memang terjadi hal2 yg harus diperbaiki.

Pada CSF, setting defaultnya notifikasi tidak dinonaktifkan. Notifikasi yg paling sering adalah Excessive resource usage alias pemakaian resouce yg berlebih atau
Suspicious process alias proses yg mencurigakan.

Dari email notif, bisa dilihat proses dan usernya. Bila ternyata hal ini termasuk kategori normal, notif2 ini bisa diabaikan dan bila perlu dinonaktifkan.

Contoh notif Excessive resource usage
Contoh notif Suspicious process running

Contoh kasus di atas, Excessive resource usage terjadi karena proses dari imunify360 dengan executable /var/ossec/bin/ossec-remoted. Hal ini wajar karena proses antivirus kadang melalukan update berkala.

Sedangkan untuk contoh kasus Suspicious process running, hal ini terjadi pemakaian php yg cukup lama pada account xxx. Memang mencurigakan, apa yg dilakukan oleh user xxx, apakah menggunakan script PHP yg tidak optimal atau script PHP yg berbahaya. Umumnya script PHP jarang sekali running lebih dari 60 detik. Kecuali untuk proses2 yg memang memakan waktu lama misalnya: Mengirim e-mail dalam jumlah besar, proses upload/down dengan file besar ke server yg menggunakan PHP. Ada baiknya notif ini di monitor berkala dalam 1-3 hari kedepan khusus user xxx.

Mengnonaktifkan notifikasi
Cara yg paling gampang adalah menambahkan nama executable kedalam file setingan csf.pignore. Tinggal login ke SSH dengan level root. Buat yg belum install nano editor bisa menggunakan vim atau tinggal install nano saja (optional)

yum install nano
nano /etc/csf/csf.pignore

Tambahkan exe: file path yg mau dinonaktifkan , seperti contoh gambar di atas. Setelah itu save tekan Ctrl-O atau Ctrl-X lalu pilih Yes untuk save. Terkahir jangan lupa untuk restart CSF.

csf -r
0 0 votes
Article Rating

Suka dengan artikel ini ? Yuk bagikan ...

Subscribe
Notify of
0 Comments
Oldest
Newest Most Voted
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x