Огромная нагрузка на Centos, много процессов Apache

Question

Огромная нагрузка на Centos, много процессов Apache

Сейчас я испытываю огромную нагрузку на свой сервер и не могу понять, почему. Когда я использую команду "top", есть сотни процессов apache с командой "aux", но я не могу найти в сети ничего, что сообщило бы мне, что это значит. Нагрузка колеблется между 50-150, что на 50-150 больше, чем обычно.

Netstat возвращает сотни и сотни строк следующим образом:

tcp  0  0 xxx.xxx.xxx.xxx:45216  61.155.202.205:80  CLOSE_WAIT  28863/aux

Почти все из 61.155.xxx.xxx (не уверен, что это актуальная информация, но стараюсь дать как можно больше).

Операционная система - CentOS: выпуск 5.7 Final. Мы просто запускаем на нем LAMP-стэк с примерно 30 веб-сайтами, которые не загружаются (как я думал). Я проверил журналы для всех vHosts, но ни один, кажется, не получает много / любых запросов (недостаточно, чтобы вызвать эту проблему). Я не уверен, есть ли другие журналы, которые я должен проверить?

Это началось пару дней назад; Насколько мне известно, на сервере не было никаких изменений.

У кого-нибудь есть идеи, как я могу отследить, что вызывает огромный скачок нагрузки? Есть ли какие-то другие команды / журналы, которые я пропустил, которые могли бы помочь мне выяснить, в чем проблема?

4

apache-2.2 centos high-load

Источник

dKen 14 июн '12 в 08:52

2 ответа

Решение

Чтобы, возможно, помочь любому, кто поражает то же самое, это был троян (Trojan.Perl.Shellbot-2) это было причиной проблемы. Между ответом / комментариями здесь и другим вопросом на 398715 мы сделали следующее:

Установил и запустил chkrootkit, но ничего не найдено
Установил и запустил clamav, который выследил название вируса и где он был расположен
Искал других с такой же проблемой и нашел этот пост
Следуйте инструкциям по удалению и очистке от вируса
добавленной apache к cron.deny файл и перезапущен crond

Это только часть решения; сервер все еще должен быть восстановлен после того, как мы выясним, где уязвимость, но это было хорошее начало, и мы вернули сервер в рабочее состояние.

Если кто-нибудь может вспомнить что-то, что я пропустил, что-то, что я делаю неправильно или что-то лучше, пожалуйста, дайте мне знать

1

Источник

dKen 14 июн '12 в 16:08

Другие вопросы по тегам apache-2.2 centos high-load

Ladadadada 14 июн '12 в 09:00 2012-06-14 09:00 · Accepted Answer · 2012-06-14 09:00

Это не соединение с 61.155.xxx.xxx. Это соединение с веб-сервером на 61.155.202.205.

Похоже, ваш веб-сервер отправляет HTTP-запросы другим веб-серверам по ADSL-соединениям в Китае. Попробуйте tcpdump -n -A -s0 host 61.155.202.205 чтобы увидеть, какие данные вы собираете. Я подозреваю, что это зло.

Если это злонамеренно, обратитесь к Мой сервер был взломан! АВАРИЙНАЯ.

"Многие процессы Apache", скорее всего, вызваны высокой нагрузкой, а не высокой нагрузкой. Даже при средней загрузке 50 я бы ожидал, что HTTP-запросы начнут занимать несколько секунд. На 150 было бы хуже.