Плодятся сотни процессов httpd.itk - как определить причину

[dsparill]

На наличие чего ключами то ? Если атака на http порт, то проще смотреть логи apache

На наличие dos атаки например.
tcpdump -i ИНТЕРФЕЙС -n port 80 (если порт 80 у сайта) -c 2000 -w flood.cap
tcpdump -nr flood.cap | awk '{print $3}' |grep -oE '[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}\.[0-9]{1,}' |sort |uniq -c |sort -rn

Увидим сколько запросов с какого IP пришло. Дальше по моему все очевидно. Ну или сделать сортировку по "куда именно ломятся"

 

[Kenny]

Увидим сколько запросов с какого IP пришло. Дальше по моему все очевидно. Ну или сделать сортировку по "куда именно ломятся"

DOS-атаки делаются в основном одновременно с разных IP_адресов. А то было бы все так просто и резалось бы с помощью простого скрипта.

 

[dsparill]

DOS-атаки делаются в основном одновременно с разных IP_адресов. А то было бы все так просто и резалось бы с помощью простого скрипта.

Вот в выводе и увидите что с херовой тонны ip идет большое кол-во запросов. Пользовательские IP столько не нагенерируют. Для начала то нужно выяснить причину падения сервиса, разве нет? Вопрос по защите пока не стоит.

 

[jabbaxatt]

Нашел 1 взломанный сайт. В корне которого файл (в пиложении)
А в логах такая хрень массово


127.0.0.1 - - [08/May/2015:17:57:14 +0400] "GET /goroda/gorod-belogorsk.html HTTP/1.0" 200 16912 "ht tp://ww w.18to19tna.com/st/st.php?id=24390&url=ht tp%3A//airgun.yalta-info.net/go.php%3Fhttp%3A//ww w.****.ru/goroda/gorod-belogorsk.html" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.16"

 

[lisfox]

Массово, с какой периодичностью? Каждый час, минуту, секунду, 100 запросов в секунду? С виду похоже на обычный редирект по внешней ссылке.

 

[jabbaxatt]

Массово, с какой периодичностью? Каждый час, минуту, секунду, 100 запросов в секунду? С виду похоже на обычный редирект по внешней ссылке.

То тишина, и спокойствие. То по 1-2-3 запроса в секунду. Подрят тысячами, пока сервер не ляжет.
Да и редирект двойной. И при переходе по этому редиректу - то на свой сайт попадаю, как положено, то на какой-то порносайт.

 

[lisfox]

А IP источника повторяются или все запросы с разных IP?
Если 1-2-3 в секунду, то сервер должен справляться и не плодить процессы.
Можно посмотреть в сторону оптимизации запросов и кэширования.
И если запросы идут только на одну страницу, можно сделать ее статической и поставить редирект на новую страницу.

 

[vgrey]

А что показывает mod_status во время проблемы?

 

[Ener]

На наличие dos атаки например.
tcpdump -i ИНТЕРФЕЙС -n port 80 (если порт 80 у сайта) -c 2000 -w flood.cap

Не нужен там никакой tcpdump - это гемор и лишнюю нагрузку создает на сервер.
Все процессы http.itk создает апач из-за запросов, которые в него прилетают. itk - название mpm-модуля апача.
Все эти запросы прекрасно видны в логах, если они ведутся, конечно.

 

[dsparill]

Не нужен там никакой tcpdump - это гемор и лишнюю нагрузку создает на сервер.
Все процессы http.itk создает апач из-за запросов, которые в него прилетают. itk - название mpm-модуля апача.
Все эти запросы прекрасно видны в логах, если они ведутся, конечно.

В чем гемор простите? И, кхм, нагрузку на сервер? У Вас сайты на росбери пи хостятся?