Kynsz 1 Zgłoś post Napisano Maj 19, 2016 Witam Ostatnio jeden z bardzo starych serwerów się zawiesza, przyczyną jest kończący się ram który zajmuje po pewnym czasie apache, aktualnie 4 z jego procesów zajmują ponad 400mb czyli łącznie prawie 1.7GB a wartość cały czas rośnie aż do całego zajęcia ramu. Czy istnieje sposób aby zorientować się co hostują aktualnie te procesy ? Udostępnij ten post Link to postu Udostępnij na innych stronach
Misiek08 285 Zgłoś post Napisano Czerwiec 8, 2016 Wiem, że to nie do końca odpowiedź na Twoje pytanie, ale może przejdziesz na nginx lub inny serwer? Jeżeli koniecznie chcesz ratować ten i zostać na Apache to napisz na PW, jeżeli potrzebujesz NDA to podpiszę, a tak to sprawdzę co jest nie tak i podam wycenę za informację LUB naprawienie. Najprościej to tail -f /plik/access.log i masz na żywo log, który mówi dokładnie jaki adres został podany. Może to tylko atak botów i albo regułka .htaccess starczy albo np. postawienie reverse proxy, które poda pliki statyczne na tyle szybko, żeby wszystko nadal działało. Udostępnij ten post Link to postu Udostępnij na innych stronach
Kynsz 1 Zgłoś post Napisano Czerwiec 9, 2016 (edytowany) Wiem, że to nie do końca odpowiedź na Twoje pytanie, ale może przejdziesz na nginx lub inny serwer? Jeżeli koniecznie chcesz ratować ten i zostać na Apache to napisz na PW, jeżeli potrzebujesz NDA to podpiszę, a tak to sprawdzę co jest nie tak i podam wycenę za informację LUB naprawienie. Najprościej to tail -f /plik/access.log i masz na żywo log, który mówi dokładnie jaki adres został podany. Może to tylko atak botów i albo regułka .htaccess starczy albo np. postawienie reverse proxy, które poda pliki statyczne na tyle szybko, żeby wszystko nadal działało. Dzięki za odpowiedź, System stoi na centos 5, czyli już skamielina, niestety przejście na nginxa nie jest możliwe. Jeśli chodzi o boty, skanery itp to dodałem reguły do fail2ban, coś się znajdzie w logach = ban na IP. Aby mieć trochę jasności co się może dziać to zacząłem przenosić wszystkie strony na ich osobne fpmy, tylko tych stron jest ponad 100. Dziwne jest też to że po skoczeniu zajętości ramu przez apache, mam na koncie root setki nowych procesów z swoim własnym nr pid ale już z pustym "COMMAND", może jakiś rodzaj fork bomb na apache ? Edytowano Czerwiec 9, 2016 przez Kynsz (zobacz historię edycji) Udostępnij ten post Link to postu Udostępnij na innych stronach
Misiek08 285 Zgłoś post Napisano Czerwiec 22, 2016 No to w takim razie - czemu nie możesz przejść na nginx? .htaccess? System nie ma większego znaczenia. Możliwe, że jest jakaś bomba. Wracają do nginx'a to może spróbuj nie tyle przejść na niego, co postawić go przed Apache. Nginx nawet przy jakiejkolwiek próbie ataku przekaże to co trzeba do Apache, ale na pewno wygeneruje logi (ostatnio klient miał taki atak, że apache zajmował RAM tak szybko, że system ubijał procesy zanim coś wrzuciły w logi, a przynajmniej tak to wyglądało - może to jakiś błąd w apache, ale wyglądało na ubijanie). Udostępnij ten post Link to postu Udostępnij na innych stronach
