Mega_88 0 Zgłoś post Napisano Maj 14, 2017 Cześć, mógłby mi ktoś pomóc i wytłumaczyć gdzie mam szukać, jak temu zaradzić i jak odszukać do powoduje takie obciążenie. Od 4 dni dostaję ostrzeżenia "load average" i wartości od 10 do 13. Wcześniej zdarzało się, że serwer się przytkał, ale to sporadyczne przypadki. Ostatnie info, jakie otrzymałem: This is an automated message notifying you that the 5 minute load average on your system is 11.21. This has exceeded the 10 threshold. One Minute - 18.83 Five Minutes - 11.21 Fifteen Minutes - 5.71 top - 05:31:02 up 7 days, 4:36, 0 users, load average: 18.83, 11.21, 5.71 Tasks: 276 total, 8 running, 268 sleeping, 0 stopped, 0 zombie Cpu(s): 1.8%us, 1.1%sy, 0.1%ni, 94.0%id, 3.0%wa, 0.0%hi, 0.0%si, 0.0%st Mem: 8018632k total, 7617272k used, 401360k free, 1664208k buffers Swap: 4192188k total, 161180k used, 4031008k free, 1777168k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 1969 mysql 20 0 2332m 410m 4880 S 27.4 5.2 49:27.66 /usr/sbin/mysqld --basedir=/usr --datadir=/var/lib/mysql --plugin-dir=/usr/lib64/mysql/plugin --user=mysql --log-error=/var/lib/mysql/s1.NAME_HOST.pl.err --pid-file=/var/lib/mysql/s1.NAME_HOST.pl.pid 1143 apache 20 0 343m 36m 4956 R 23.5 0.5 0:33.65 /usr/sbin/httpd -k start -DSSL 1144 apache 20 0 345m 37m 4656 R 23.5 0.5 0:26.43 /usr/sbin/httpd -k start -DSSL 31348 apache 20 0 342m 35m 4892 R 23.5 0.5 0:28.65 /usr/sbin/httpd -k start -DSSL 597 apache 20 0 335m 28m 4812 S 21.6 0.4 0:21.10 /usr/sbin/httpd -k start -DSSL 976 apache 20 0 347m 41m 4780 R 21.6 0.5 0:25.95 /usr/sbin/httpd -k start -DSSL 587 apache 20 0 335m 28m 4784 S 19.6 0.4 0:33.48 /usr/sbin/httpd -k start -DSSL 622 apache 20 0 347m 41m 4796 R 19.6 0.5 0:26.13 /usr/sbin/httpd -k start -DSSL 978 apache 20 0 335m 28m 4788 S 19.6 0.4 0:25.76 /usr/sbin/httpd -k start -DSSL 1042 apache 20 0 343m 36m 4648 S 17.6 0.5 0:25.61 /usr/sbin/httpd -k start -DSSL 1203 apache 20 0 347m 40m 4764 S 17.6 0.5 0:25.17 /usr/sbin/httpd -k start -DSSL 1206 apache 20 0 347m 41m 4804 D 17.6 0.5 0:18.76 /usr/sbin/httpd -k start -DSSL 1207 apache 20 0 347m 40m 4644 S 17.6 0.5 0:25.77 /usr/sbin/httpd -k start -DSSL 979 apache 20 0 357m 50m 4824 R 15.7 0.7 0:32.49 /usr/sbin/httpd -k start -DSSL 980 apache 20 0 347m 41m 4776 S 15.7 0.5 0:25.46 /usr/sbin/httpd -k start -DSSL 1202 apache 20 0 347m 40m 4676 S 15.7 0.5 0:24.20 /usr/sbin/httpd -k start -DSSL 1204 apache 20 0 335m 28m 4696 S 15.7 0.4 0:26.09 /usr/sbin/httpd -k start -DSSL 31336 apache 20 0 427m 108m 8288 S 15.7 1.4 0:26.68 /usr/sbin/httpd -k start -DSSL 31337 apache 20 0 382m 75m 5296 S 15.7 1.0 0:32.94 /usr/sbin/httpd -k start -DSSL 1091 apache 20 0 343m 36m 4632 S 13.7 0.5 0:33.03 /usr/sbin/httpd -k start -DSSL 1205 apache 20 0 335m 28m 4776 S 13.7 0.4 0:26.15 /usr/sbin/httpd -k start -DSSL 12835 root 20 0 15152 1340 880 R 2.0 0.0 0:00.01 /usr/bin/top -c -b -n 1 1 root 20 0 19232 1092 892 S 0.0 0.0 0:02.78 /sbin/init Udostępnij ten post Link to postu Udostępnij na innych stronach
Jishnu 4 Zgłoś post Napisano Maj 14, 2017 Ktoś/coś często odwiedza jedną lub kilka stron trzymanych na serwerze. Korzystasz pewnie z mod_php i dlatego w procesach widać duże obciążenie generowane przez http - apache. Musisz zerknąć w logi apache'a i sprawdzić która ze stron generuje takie obciążenie. Strzelam, że masz jakąś joomlę i jest dużo 'wejść' na zaplecze /administrator - bo ktoś zgaduje hasło Jak już będzie wiadomo co generuje taki ruch to będzie można coś zaradzić - np fail2ban + joomla Gorzej jeśli jest jakaś mocno rozbudowana strona z kiepską optymalizacją i ktoś po prostu ją jakimś skryptem 'odświeża' generując taki ruch Udostępnij ten post Link to postu Udostępnij na innych stronach
Mega_88 0 Zgłoś post Napisano Maj 14, 2017 Cześć, dziękuje za odpowiedź chyba mocno mnie to naprowadziło. Wydaje mi się, że chyba znalazłem winnego, wszedłem w var/log/httpd/domains, przesortowałem sobie pliki według rozmiaru i otworzyłem pierwszy (ponad 4MB). Wpisy zaczynają się od 05:27:06 i jest ich z 20k... trwają do 05:31:06 i czasy się zgadzają z komunikatem DA. Wpisy takie jak poniżej. Wydaje mi się, że w 99% to właśnie to powoduje od kilku dni takie obciążenie. Może ktoś potwierdzić ? 194.28.115.249 - - [14/May/2017:05:27:06 +0200] "POST /admin79/index.php?controller=adminlogin&token=06cecce84ab0df83290029b7bd10ddc6&redirect=adminhome HTTP/1.1" 200 621 "-" "-" Jeżeli chodzi o Twój strzał to prawie dobrze. Nie jest to Joomla, ale sklep na gotowym silniku. Z czymś takim zgłaszam problem osobie, która jest odpowiedzialna za to oprogramowanie czy mogę takie przypadki blokować po stronie serwera ? Pod DA mam zainstalowany ConfigServer Firewall&Security. Udostępnij ten post Link to postu Udostępnij na innych stronach
Jishnu 4 Zgłoś post Napisano Maj 14, 2017 fail2ban - moduł sklepu + usługa albo tymczasowo Jeśli administrator sklepu łączy się z jednego/dwóch/kilku IP dodać w katalogu admin79 plik .htaccess <Files *.php> <Limit GET POST> Order Deny,Allow Deny from all Allow from 1.2.3.4 Allow from 1.2.4.5 </Limit> <LimitExcept GET POST> Order Deny,Allow Deny from all Allow from 1.2.3.4 Allow from 1.2.4.5 </LimitExcept> </Files> ErrorDocument 403 "Hakerom dziękujemy" Udostępnij ten post Link to postu Udostępnij na innych stronach
Mega_88 0 Zgłoś post Napisano Maj 14, 2017 Dziękuje bardzo za informację, bardzo mi pomogłeś Udostępnij ten post Link to postu Udostępnij na innych stronach