Назад | Перейти на главную страницу

Огромная нагрузка на Centos, много процессов apache

На данный момент мой сервер сильно загружен, и я не могу понять, почему. Когда я использую команду 'top', существуют сотни процессов apache с командой "aux", но я не могу найти в Интернете ничего, что бы объяснило мне, что это означает. Нагрузка колеблется в пределах 50–150, что на хорошие 50–150 больше, чем обычно.

Netstat возвращает сотни и сотни таких строк:

tcp  0  0 xxx.xxx.xxx.xxx:45216  61.155.202.205:80  CLOSE_WAIT  28863/aux

Почти все из 61.155.xxx.xxx (не уверен, актуальна ли это информация, но стараюсь дать как можно больше).

Операционная система - CentOS: выпуск 5.7 Final Мы просто запускаем на нем стек LAMP с примерно 30 веб-сайтами, которые не получают большой нагрузки (по крайней мере, я так думал). Я проверил журналы для всех vHosts, но, похоже, ни один из них не получает много / каких-либо запросов (недостаточно, чтобы вызвать эту проблему). Я не уверен, есть ли другие журналы, которые мне нужно проверить?

Это началось пару дней назад; Насколько мне известно, никаких изменений на сервере не было.

Есть ли у кого-нибудь идеи, как я могу отследить причину огромного скачка нагрузки? Есть ли другие команды / журналы, которые я пропустил, которые могут помочь мне выяснить, в чем проблема?

Это не связь из 61.155.xxx.xxx. Это связь к веб-сервер на 61.155.202.205.

Похоже, что ваш веб-сервер выполняет HTTP-запросы к другим веб-серверам по ADSL-соединениям в Китае. Попробуйте tcpdump -n -A -s0 host 61.155.202.205 чтобы узнать, какие данные вы собираете. Я подозреваю, что это злонамеренно.

Если это злонамеренно, обратитесь к Мой сервер взломан! ЧРЕЗВЫЧАЙНАЯ СИТУАЦИЯ.


"Многие процессы Apache", скорее всего, вызванный высокая нагрузка, а не вызывающая высокую нагрузку. Даже при средней загрузке 50 я бы ожидал увидеть HTTP-запросы, занимающие несколько секунд. На 150 было бы хуже.

Чтобы помочь любому, кто столкнется с тем же самым, это был троян (Trojan.Perl.Shellbot-2), что вызывало проблему. Между ответом / комментариями здесь и моим другим вопросом на 398715, мы сделали следующее:

  • Установлен и запущен chkrootkit, но ничего не найдено
  • Установлен и запущен clamav, который отследил название вируса и его местонахождение.
  • Искал других с такой же проблемой и нашел эта почта
  • Следуя инструкциям по удалению и очистке после вируса
  • Добавлено apache к cron.deny файл и перезапущен crond

Это только часть решения; сервер все еще необходимо перестроить после того, как мы отследим, где находится уязвимость, но это было хорошее начало, и мы вернули сервер в рабочее состояние.

Если кто-то может вспомнить что-то, что я пропустил, что-то я делаю не так или могу сделать лучше, дайте мне знать.