Help - Search - Members - Calendar
Full Version: Muchos proceso httpd
The Planet Forums > General > Foro en Espańol / Spanish Forum
Ale
Jun 18 2009, 04:55 PM
Hola
Desde antes de ayer mi servidor comenzaba a colgarse, tras reiniciarlo veia muchos procesos HTTPD corriendo, no tengo ningun sitio con muchas visitas ni instale ningun script ni toque nada en el servidor, todo comenzo de repente hace 2 dias, el servidor se cuelga cada 1 hora.

Es un pentium 2.0 con 1 gb de ram
Al poner netstat -np | grep ":80" | wc -l me dice que hay 900 conecciones.

#ps aux:

CODE
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 1416 508 ? S 18:47 0:04 init [3]
root 2 0.0 0.0 0 0 ? SW 18:47 0:00 [keventd]
root 3 0.0 0.0 0 0 ? SW 18:47 0:00 [kapmd]
root 4 0.0 0.0 0 0 ? SWN 18:47 0:00 [ksoftirqd_CPU0]
root 5 0.0 0.0 0 0 ? SW 18:47 0:01 [kswapd]
root 6 0.0 0.0 0 0 ? SW 18:47 0:04 [bdflush]
root 7 0.0 0.0 0 0 ? SW 18:47 0:00 [kupdated]
root 8 0.0 0.0 0 0 ? SW 18:48 0:00 [mdrecoveryd]
root 12 0.1 0.0 0 0 ? DW 18:48 0:09 [kjournald]
root 134 0.0 0.0 0 0 ? SW 18:48 0:00 [kjournald]
root 687 0.0 0.0 1476 584 ? D 18:48 0:01 syslogd -m 0 -a /home/virtual/FILESYSTEMTEMPLATE/log-
root 966 0.0 0.1 2100 1208 ? S 18:48 0:00 klogd
root 1054 0.0 0.1 4032 1444 ? S 18:48 0:00 /usr/sbin/sshd
root 1075 0.0 0.1 2688 1248 ? S 18:49 0:00 sshd -f /etc/ssh/sshd-rb_config
root 1110 0.0 0.0 2228 964 ? S 18:49 0:00 xinetd -stayalive -pidfile /var/run/xinetd.pid
root 1148 0.0 0.1 2260 1052 ? S 18:49 0:00 /bin/sh /usr/bin/safe_mysqld --defaults-file=/etc/my.cnf
root 1198 0.0 1.5 18072 16232 ? S 18:49 0:00 /usr/bin/spamd -d -c -a
root 1216 0.0 0.0 1448 488 ? S 18:49 0:00 gpm -t ps/2 -m /dev/mouse
root 1266 0.0 0.2 5104 2352 ? S 18:49 0:03 /usr/sbin/sshd
admin 1270 0.0 0.1 2528 1348 pts/0 S 18:49 0:00 -bash
postgres 1371 0.0 0.1 6668 1676 ? S 18:49 0:00 /usr/bin/postmaster -D /var/lib/pgsql/data
root 1420 0.0 0.1 3512 1220 ? S 18:49 0:00 proftpd (accepting connections)
root 1468 0.0 0.2 6356 2924 ? S< 18:49 0:00 /usr/sbin/ocwhttpd -DSSL -d /usr/lib/opcenter -f fastcgi/httpd
nobody 1469 0.0 0.2 6124 2644 ? S< 18:49 0:00 /usr/sbin/fcgi-pm -DSSL -d /usr/lib/opcenter -f fastcgi/httpd
nobody 1470 0.0 0.3 6632 3248 ? S< 18:49 0:00 /usr/sbin/ocwhttpd -DSSL -d /usr/lib/opcenter -f fastcgi/httpd
nobody 1471 0.0 0.3 6636 3292 ? S< 18:49 0:00 /usr/sbin/ocwhttpd -DSSL -d /usr/lib/opcenter -f fastcgi/httpd
nobody 1472 0.0 0.3 6636 3296 ? S< 18:49 0:00 /usr/sbin/ocwhttpd -DSSL -d /usr/lib/opcenter -f fastcgi/httpd
nobody 1473 0.0 0.3 6636 3296 ? S< 18:49 0:00 /usr/sbin/ocwhttpd -DSSL -d /usr/lib/opcenter -f fastcgi/httpd
nobody 1474 0.0 0.3 6636 3296 ? S< 18:49 0:00 /usr/sbin/ocwhttpd -DSSL -d /usr/lib/opcenter -f fastcgi/httpd
root 1576 0.0 1.1 54796 11416 ? S< 18:49 0:00 python2.1 /usr/lib/opcenter/ocwstart.pyc --fcgi --daemon
root 1592 0.0 0.1 3388 1260 ? S 18:49 0:00 /usr/sbin/bandwidth_manager
root 1610 0.0 0.0 1632 724 ? S 18:49 0:00 crond
postgres 1611 0.0 0.3 7372 3376 ? S 18:49 0:01 postgres: root appldb [local] idle
daemon 1679 0.0 0.0 1472 584 ? S 18:49 0:00 /usr/sbin/atd
root 1743 0.0 0.1 3404 1684 ? S 18:50 0:00 /usr/local/urchin/bin/urchinwebd -f /usr/local/urchin/var/urch
nobody 1744 0.0 0.1 3536 1768 ? S 18:50 0:00 /usr/local/urchin/bin/urchinwebd -f /usr/local/urchin/var/urch
nobody 1745 0.0 0.1 3536 1768 ? S 18:50 0:00 /usr/local/urchin/bin/urchinwebd -f /usr/local/urchin/var/urch
nobody 1746 0.0 0.1 3536 1768 ? S 18:50 0:00 /usr/local/urchin/bin/urchinwebd -f /usr/local/urchin/var/urch
nobody 1747 0.0 0.1 3536 1768 ? S 18:50 0:00 /usr/local/urchin/bin/urchinwebd -f /usr/local/urchin/var/urch
nobody 1748 0.0 0.1 3536 1768 ? S 18:50 0:00 /usr/local/urchin/bin/urchinwebd -f /usr/local/urchin/var/urch
nobody 1750 0.0 0.0 536 296 ? S 18:50 0:00 /usr/local/urchin/bin/urchind
root 1755 0.0 0.3 4888 3712 ? S 18:50 0:00 /usr/bin/perl /home/webmaster/webmin-1.090/miniserv.pl /etc/we
root 1759 0.0 0.0 1392 440 tty1 S 18:50 0:00 /sbin/mingetty tty1
root 1760 0.0 0.0 1392 440 tty2 S 18:50 0:00 /sbin/mingetty tty2
root 1761 0.0 0.0 1392 440 tty3 S 18:50 0:00 /sbin/mingetty tty3
root 1762 0.0 0.0 1392 440 tty4 S 18:50 0:00 /sbin/mingetty tty4
root 1763 0.0 0.0 1392 440 tty5 S 18:50 0:00 /sbin/mingetty tty5
root 1764 0.0 0.0 1392 440 tty6 S 18:50 0:00 /sbin/mingetty tty6
root 1765 0.0 0.0 1404 492 ttyS0 S 18:50 0:00 /sbin/agetty -L 9600 ttyS0 vt100
root 1873 0.0 0.1 2400 1044 pts/0 S 18:53 0:00 su
root 1876 0.0 0.1 2632 1448 pts/0 S 18:53 0:00 bash
root 1904 0.0 0.1 2276 1220 pts/0 T 18:53 0:03 top
root 2795 0.0 0.0 2036 836 pts/0 T 19:10 0:00 less error_log
root 2819 0.0 0.0 2040 836 pts/0 T 19:11 0:00 less access_log
root 2889 0.0 0.1 2276 1216 pts/0 T 19:13 0:00 top
root 3140 0.0 0.1 2236 1180 pts/0 T 19:16 0:00 top
root 3275 0.0 0.1 2276 1212 pts/0 T 19:20 0:01 top
nobody 3418 0.0 0.2 6488 3020 ? S< 19:20 0:00 /usr/sbin/ocwhttpd -DSSL -d /usr/lib/opcenter -f fastcgi/httpd
root 3419 0.0 1.1 54796 11416 ? S< 19:20 0:00 python2.1 /usr/lib/opcenter/ocwstart.pyc --fcgi --daemon
root 3420 0.0 1.1 54796 11416 ? S< 19:20 0:00 python2.1 /usr/lib/opcenter/ocwstart.pyc --fcgi --daemon
root 3421 0.0 1.1 54796 11416 ? S< 19:20 0:00 python2.1 /usr/lib/opcenter/ocwstart.pyc --fcgi --daemon
root 3422 0.0 1.1 54796 11416 ? S< 19:20 0:00 python2.1 /usr/lib/opcenter/ocwstart.pyc --fcgi --daemon
root 3423 0.0 1.1 54796 11416 ? S< 19:20 0:00 python2.1 /usr/lib/opcenter/ocwstart.pyc --fcgi --daemon
root 3424 0.0 1.1 54796 11416 ? S< 19:20 0:00 python2.1 /usr/lib/opcenter/ocwstart.pyc --fcgi --daemon
root 4144 0.0 0.0 2400 1020 pts/0 S 19:32 0:00 su
root 4145 0.0 0.1 2640 1456 pts/0 S 19:32 0:00 bash
root 4391 0.0 0.0 2032 832 pts/0 T 19:35 0:00 less configure
root 4442 0.0 0.0 1636 748 ? S 19:37 0:00 CROND
root 4443 0.0 0.0 2024 936 ? S 19:37 0:00 /bin/sh /usr/lib/opcenter/virtualhosting/MailQueueCleaner
root 9489 0.3 0.1 2292 1228 pts/0 T 19:54 0:08 top
root 10343 0.0 0.0 2028 828 pts/0 T 20:11 0:00 less /etc/my.cnf
named 10658 0.0 0.3 11008 3100 ? S 20:19 0:00 named -u named
named 10661 0.0 0.3 11008 3100 ? S 20:19 0:00 named -u named
named 10662 0.0 0.3 11008 3100 ? S 20:19 0:00 named -u named
named 10663 0.0 0.3 11008 3100 ? S 20:19 0:00 named -u named
named 10664 0.0 0.3 11008 3100 ? S 20:19 0:00 named -u named
root 10848 0.6 0.4 7920 4776 ? S 20:21 0:07 sendmail: ./k9J5Ft206656: from queue
root 10930 0.0 0.0 2240 992 pts/0 T 20:22 0:00 /bin/sh /sbin/service named start
root 10933 0.0 0.1 2400 1188 pts/0 T 20:22 0:00 /bin/bash /etc/init.d/named start
named 10950 0.0 0.3 11040 3100 ? S 20:22 0:00 named -u named
root 10979 0.0 0.1 2192 1132 pts/0 T 20:24 0:00 top
named 10982 0.0 0.3 11040 3100 ? S 20:24 0:00 named -u named
named 10983 0.0 0.3 11040 3100 ? S 20:24 0:00 named -u named
named 10984 0.0 0.3 11040 3100 ? S 20:24 0:00 named -u named
named 10985 0.0 0.3 11040 3100 ? S 20:24 0:00 named -u named
root 11113 0.0 0.0 1668 540 pts/0 T 20:26 0:00 tail -f /var/log/httpd/error_log
mysql 11136 0.0 0.7 38272 7284 ? SN 20:26 0:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
mysql 11149 0.0 0.7 38272 7284 ? SN 20:27 0:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
mysql 11150 0.0 0.7 38272 7284 ? SN 20:27 0:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
mysql 11174 0.0 0.7 38272 7284 ? SN 20:27 0:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
mysql 11178 0.2 0.7 38272 7284 ? SN 20:27 0:01 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
named 11226 0.0 0.2 10988 3092 ? S 20:28 0:00 named -u named
named 11229 0.0 0.2 10988 3092 ? S 20:28 0:00 named -u named
named 11230 0.1 0.2 10988 3092 ? S 20:28 0:00 named -u named
named 11231 0.0 0.2 10988 3092 ? S 20:28 0:00 named -u named
named 11232 0.0 0.2 10988 3092 ? S 20:28 0:00 named -u named
root 11304 0.2 1.0 19284 10924 ? S 20:29 0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11316 0.0 1.0 18888 10384 ? S 20:29 0:00 /usr/sbin/fcgi- -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11317 0.2 1.6 24344 16660 ? S 20:29 0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11318 0.1 1.6 24404 16744 ? S 20:29 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11319 0.8 1.1 19924 12240 ? S 20:29 0:05 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11320 0.2 1.1 19844 12168 ? S 20:29 0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11321 0.3 1.6 24496 16840 ? S 20:29 0:02 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11323 0.3 1.6 24432 16788 ? S 20:29 0:02 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11324 0.2 1.1 19940 12160 ? S 20:29 0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11325 0.6 1.1 19764 12092 ? S 20:29 0:04 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11327 0.2 1.1 19880 12192 ? S 20:29 0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11328 0.2 1.2 20152 12388 ? S 20:29 0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11329 0.5 1.6 24508 16840 ? S 20:29 0:03 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11330 0.2 1.1 20064 12296 ? S 20:29 0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
mysql 11331 0.2 0.7 38272 7284 ? SN 20:29 0:01 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
apache 11337 0.2 1.1 19600 11836 ? S 20:29 0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11340 0.1 1.1 19832 12152 ? S 20:29 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11341 0.1 1.6 24356 16684 ? S 20:29 0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11346 0.7 1.1 19884 12196 ? S 20:29 0:04 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
mysql 11363 0.2 0.7 38272 7284 ? SN 20:29 0:01 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
mysql 11448 0.1 0.7 38272 7284 ? SN 20:30 0:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
apache 11485 0.6 1.2 20136 12448 ? S 20:30 0:03 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11491 0.2 1.6 24376 16716 ? S 20:30 0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11509 0.3 1.1 20052 12364 ? S 20:30 0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11517 0.3 1.1 19960 12216 ? S 20:31 0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11566 0.0 1.1 20052 12344 ? S 20:32 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11568 0.4 1.1 19712 11984 ? S 20:32 0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11572 0.3 1.6 24288 16556 ? D 20:32 0:01 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
mysql 11614 0.1 0.7 38272 7284 ? SN 20:33 0:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
apache 11631 0.0 1.1 19440 11356 ? S 20:33 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
root 11634 0.0 0.0 0 0 ? Z 20:33 0:00 [suexec <defunct>]
admin22 11635 0.0 0.0 0 0 ? Z 20:33 0:00 [m <defunct>]
mysql 11711 0.2 0.7 38272 7284 ? SN 20:35 0:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
mysql 11721 0.1 0.7 38272 7284 ? SN 20:35 0:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
mysql 11765 0.0 0.7 38272 7284 ? SN 20:36 0:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
mysql 11767 0.0 0.7 38272 7284 ? SN 20:36 0:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
mysql 11768 0.1 0.7 38272 7284 ? SN 20:36 0:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
apache 11779 0.0 1.1 19892 12064 ? S 20:36 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11789 0.0 1.0 19332 11076 ? D 20:36 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11790 0.0 1.0 19340 11084 ? D 20:36 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11791 0.0 1.1 19728 11820 ? S 20:36 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11793 0.0 0.0 0 0 ? Z 20:36 0:00 [httpd <defunct>]
apache 11795 0.0 1.0 19332 11076 ? D 20:36 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11796 0.0 1.0 19332 11076 ? D 20:36 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11797 0.0 1.0 19332 11076 ? D 20:36 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11798 0.0 1.0 19332 11076 ? D 20:36 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11801 0.0 1.0 19332 11076 ? D 20:36 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11806 0.0 1.0 19332 11076 ? D 20:36 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11807 0.0 1.0 19340 11084 ? D 20:36 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11808 0.0 1.0 19336 11080 ? D 20:36 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
apache 11810 0.0 1.0 19340 11084 ? D 20:36 0:00 /usr/sbin/httpd -f /etc/httpd/conf/httpd_app.conf -DSSL -DSSL.
root 11843 0.0 0.0 1628 724 ? D 20:37 0:00 CROND
root 11844 0.0 0.0 1628 724 ? S 20:37 0:00 CROND
mysql 11845 0.1 0.7 38272 7284 ? SN 20:37 0:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
mysql 11846 0.0 0.7 38272 7284 ? SN 20:37 0:00 /usr/libexec/mysqld --defaults-file=/etc/my.cnf --basedir=/usr
admin60 11865 0.0 0.0 1728 700 ? D 20:39 0:00 procmail -f campionanastasia@royaleleisurewear.co.uk -Y -a -d
root 11866 0.0 0.0 2788 856 pts/0 R 20:39 0:00 ps aux


Que puede estar pasando?
fusionado
Jun 18 2009, 10:47 PM
Ya descartaste que no se un DDOS?

Si le dices a the planet creo que ellos te hacen un estudio de tu server a ver si se encuentra bajo dos.
Ale
Jun 19 2009, 01:00 AM
No se como detectar con certeza si es ddos
Estuve buscando y acabo de hacer esto, puse la siguiente linea:

root@srv03 admin]# netstat -an | grep :80 | awk '{ print $5 }' | awk -F: '{ print $1 }' | sort | uniq -c | sort -n
1 0.0.0.0
1 187.131.73.181
1 187.150.8.14
1 190.0.199.113
1 190.177.135.188
1 190.47.148.121
1 196.40.78.101
1 201.226.51.146
1 207.44.160.87
1 64.233.172.6
1 66.249.85.129
1 66.249.85.85
1 74.86.223.42
1 88.9.87.30
1 91.124.202.96
1 94.246.126.139
2 190.43.78.232
2 200.123.161.18
2 201.255.186.48
2 206.53.144.24
2 65.91.116.33
3 200.49.162.3
3 62.42.117.149
3 83.54.152.179
4 190.141.118.242
9 85.48.143.87
11 201.242.201.179
22 190.253.173.200
26 190.156.202.51
31 67.203.237.81
38 187.131.6.99
38 200.68.84.45
47 190.230.231.94
59 190.20.145.118
64 189.217.17.214
159 190.225.14.50

Hay 159 conecciones de la ip 190.225.14.50, en google lo unico que encontre es que es de Venezuela, al parecer un User Agent .
En el apache el "Timeout" lo tenia en 300 , lo acabo de cambiar a 20
Volvi a poner:
[root@srv03 admin]# netstat -an | grep :80 | awk '{ print $5 }' | awk -F: '{ print $1 }' | sort | uniq -c | sort -n
1 0.0.0.0
1 161.196.7.222
1 186.8.31.177
1 187.131.6.99
1 189.155.110.186
1 189.242.36.99
1 190.10.41.21
1 190.156.202.51
1 190.22.141.70
1 190.90.122.186
1 200.123.161.18
1 201.226.51.146
1 201.240.172.94
1 208.54.14.32
1 213.30.114.100
1 216.240.134.242
1 77.230.70.170
1 83.40.69.144
1 83.54.152.179
1 93.156.243.211
2 189.233.32.94
2 190.71.41.225
2 201.161.142.134
2 201.251.73.190
2 64.157.4.118
2 80.39.42.136
2 83.39.203.103
2 83.43.117.214
2 88.27.131.138
3 74.222.3.186
4 190.149.48.100
4 190.66.7.105
4 72.199.122.35
4 8.10.6.243
5 189.208.238.149
5 208.54.178.105
6 201.243.98.76
7 200.71.162.1
8 174.20.61.78
8 201.138.15.33
11 77.224.207.139
16 190.163.128.72
18 200.91.9.2

Y desaparecieron bastantes conecciones.
[root@srv03 admin]# netstat -np | grep ":80" | wc -l
100

Ahora tengo 100 conecciones de las 900 de hoy. Vamos a ver que pasa durante el dia.


PD: despues de un rato no mejoro demasiado, ahora aparecieron 500
netstat -an | grep :80 | awk '{ print $5 }' | awk -F: '{ print $1 }' | sort | uniq -c | sort -n
1 0.0.0.0
1 189.158.188.83
1 190.7.79.2
1 206.53.144.45
1 64.233.172.6
1 72.30.142.117
1 74.125.75.1
1 77.210.190.212
1 79.153.149.140
1 88.19.143.124
1 88.6.104.148
2 190.241.203.2
2 59.40.44.114
2 74.125.75.4
2 95.16.38.149
3 189.128.35.76
3 88.16.224.194
8 187.2.144.145
17 88.0.81.154
26 77.224.82.94
32 190.53.239.129
34 81.32.146.78
37 190.28.128.132
59 79.151.224.200
61 85.86.140.65
64 190.173.239.123
64 201.160.223.104
167 190.66.87.99

Ahi mande un ticket a ver que dicen.
fusionado
Jun 19 2009, 09:41 PM
Dale deny a las ips con 30 o más conexiones en tu servidor para probar si es lo que está causando el problemna que seguro lo es, de ahi en más tienes optimizado el apache? lo cual pudiera ser la causa principal de tus problemas.
Ale
Jun 20 2009, 11:38 AM
QUOTE (fusionado @ Jun 20 2009, 03:41 AM) *
Dale deny a las ips con 30 o más conexiones en tu servidor para probar si es lo que está causando el problemna que seguro lo es, de ahi en más tienes optimizado el apache? lo cual pudiera ser la causa principal de tus problemas.


Me respondieron el ticket diciendo que no parece haber ningun ataque ddos. Les dije si podian mirar el por que tantas conecciones simultaneas de repente y la respuesta fue que usara el iptables icon_razz.gif asi que estoy solo.

La configuracion del apache no deberia ser porque nada se toco desde hace meses, ni agregue ningun sitio ni instale nada nuevo, esto fue de repente de un dia para el otro, sigo teniendo las mismas visitas en mis sitios, estuve viendo el ancho de banda y esta normal, no pasa los 3 MB/s , igualmente probe con otras configuraciones del apache y lo mismo. Por momentos la carga del server se va a 90 y ahi se cuelga.
Las conecciones al puerto 80 siguen siendo de 300 a 900 , no entiendo de donde salen tantas si ni siquiera aumenta el ancho de banda del servidor. Ya no se que mas mirar, con los logs no pude averiguar nada.
Bloqueando IP tampoco sirve porque no son 5 ni 10, cada vez que miro las IPs que tienen mas de 40 conecciones son diferentes.
fusionado
Jun 21 2009, 01:28 AM
Yo te recomiendo que les des ban, para que el server no se cuelgue en lo que investigas bien que es, 40 es demasido por ip.

Si puedes postea las caracteristicas de tu server y la configuracion del apache a ver que tan optimizado esta.
Ale
Jun 21 2009, 01:25 PM
Hasta anoche seguia con el problema, al parecer sin quererlo me lo han solucionado. Digo sin quererlo porque entre unas de las tantas veces en que me disponia a reiniciar el servidor, la ultima vez Ă©ste no volvia asĂ­ que mande un ticket para que hagan un reboot manual y un tech me responde lo siguiente:

I rebooted the server gracefully and booted the server up into single user mode and started the services manually. The server is now at normal runlevel and is responding to ping and ssh requests. Please let me know if you have any further issues

Despues de esto hasta ahora las conecciones no pasan de las 50 - 120, o sea normal para el trafico que tengo, los picos de carga no superan los 2, todo parece volver a la normalidad. Queda en el misterio que fué lo que le paso al server y el por qué se solucionó con un reboot manual.
tuzito
Jun 22 2009, 07:11 PM
Si, pero no es recomendable el single user mode y que te iniciaran los servicios manualmente. Que vas a hacer cuando reinicies de nuevo por una actualizacion de kernel?. No puedes estar pidiendo al proveedor que te inicie en single y manualmente servicios siempre.

Tampoco lo de ban de ips es lo mas recomendable.

Aqui la solucion es que limites las conexiones por host para httpd.

Te dejo el URL de la receta.
http://www.webhostingtalk.com/showthread.php?t=352388





QUOTE (Ale @ Jun 21 2009, 02:25 PM) *
Hasta anoche seguia con el problema, al parecer sin quererlo me lo han solucionado. Digo sin quererlo porque entre unas de las tantas veces en que me disponia a reiniciar el servidor, la ultima vez Ă©ste no volvia asĂ­ que mande un ticket para que hagan un reboot manual y un tech me responde lo siguiente:

I rebooted the server gracefully and booted the server up into single user mode and started the services manually. The server is now at normal runlevel and is responding to ping and ssh requests. Please let me know if you have any further issues

Despues de esto hasta ahora las conecciones no pasan de las 50 - 120, o sea normal para el trafico que tengo, los picos de carga no superan los 2, todo parece volver a la normalidad. Queda en el misterio que fué lo que le paso al server y el por qué se solucionó con un reboot manual.

Ale
Jun 22 2009, 11:14 PM
Podria servir pero esto no solucionaria realmente mi problema, lo que estaba pasando es que el server recibia muchas conecciones de varias IPs diferentes, pero estas no consumian trafico ni ancho de banda ni ningun archivo en especial, tal vez las estaria inventado el servidor por alguna falla de algo.
Lo que voy hacer es dentro de 15 dias cuando llegue el proximo billing dar de baja ese sever que ya tiene un buen timepo y pillar uno nuevo.

Saludos.
fusionado
Jun 28 2009, 05:21 PM
Tampoco recomiendo lo de cambiar de servidor, si es uno más potente no se cargara tanto, pero seguira haciendo carga si no solucionas lo que es y con el tiempo si suben visitas constantemente llegaras al mismo punto que con el servidor pasado.

Hablando de lo del ban yo solo hable como un fix temporal en lo que investiga cual es el problema, no dije que diera ban a esas ips todos los dĂ­as.

Saludos
This is a "lo-fi" version of our main content. To view the full version with more information, formatting and images, please click here.
Invision Power Board © 2001-2009 Invision Power Services, Inc.