На данный момент мой сервер сильно загружен, и я не могу понять, почему. Когда я использую команду 'top', существуют сотни процессов apache с командой "aux", но я не могу найти в Интернете ничего, что бы объяснило мне, что это означает. Нагрузка колеблется в пределах 50–150, что на хорошие 50–150 больше, чем обычно.
Netstat возвращает сотни и сотни таких строк:
tcp 0 0 xxx.xxx.xxx.xxx:45216 61.155.202.205:80 CLOSE_WAIT 28863/aux
Почти все из 61.155.xxx.xxx (не уверен, актуальна ли это информация, но стараюсь дать как можно больше).
Операционная система - CentOS: выпуск 5.7 Final Мы просто запускаем на нем стек LAMP с примерно 30 веб-сайтами, которые не получают большой нагрузки (по крайней мере, я так думал). Я проверил журналы для всех vHosts, но, похоже, ни один из них не получает много / каких-либо запросов (недостаточно, чтобы вызвать эту проблему). Я не уверен, есть ли другие журналы, которые мне нужно проверить?
Это началось пару дней назад; Насколько мне известно, никаких изменений на сервере не было.
Есть ли у кого-нибудь идеи, как я могу отследить причину огромного скачка нагрузки? Есть ли другие команды / журналы, которые я пропустил, которые могут помочь мне выяснить, в чем проблема?
Это не связь из 61.155.xxx.xxx. Это связь к веб-сервер на 61.155.202.205.
Похоже, что ваш веб-сервер выполняет HTTP-запросы к другим веб-серверам по ADSL-соединениям в Китае. Попробуйте tcpdump -n -A -s0 host 61.155.202.205
чтобы узнать, какие данные вы собираете. Я подозреваю, что это злонамеренно.
Если это злонамеренно, обратитесь к Мой сервер взломан! ЧРЕЗВЫЧАЙНАЯ СИТУАЦИЯ.
"Многие процессы Apache", скорее всего, вызванный высокая нагрузка, а не вызывающая высокую нагрузку. Даже при средней загрузке 50 я бы ожидал увидеть HTTP-запросы, занимающие несколько секунд. На 150 было бы хуже.
Чтобы помочь любому, кто столкнется с тем же самым, это был троян (Trojan.Perl.Shellbot-2
), что вызывало проблему. Между ответом / комментариями здесь и моим другим вопросом на 398715, мы сделали следующее:
chkrootkit
, но ничего не найденоclamav
, который отследил название вируса и его местонахождение.apache
к cron.deny
файл и перезапущен crond
Это только часть решения; сервер все еще необходимо перестроить после того, как мы отследим, где находится уязвимость, но это было хорошее начало, и мы вернули сервер в рабочее состояние.
Если кто-то может вспомнить что-то, что я пропустил, что-то я делаю не так или могу сделать лучше, дайте мне знать.