这是被人攻击了吗？

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

For Existing Member Sign In

Distributions

Ubuntu

Fedora

CentOS

中文资源站

网易开源镜像站

This topic created in 4172 days ago, the information mentioned may be changed or developed.

有几个httpd进程总是很高。要如何分析一下呢？
http://int64ago.qiniudn.com/o_197l6re161gi51huh1tr09n41q0e9.png

img

进程

攻击

15 replies 2014-11-27 14:11:35 +08:00

yanest

Nov 26, 2014

两台web都是这样

itsjoke

Nov 26, 2014

access.log

plprapper

Nov 26, 2014

https？

hjc4869

Nov 26, 2014 via iPhone

首先搞清楚到底是因为访问量大了还是程序不合理，还是被攻击。
被攻击的话可以deny掉非法访问

yanest

Nov 26, 2014

关键是搞不清楚。看了半天access.log也分析不出来啥。这两台才这样，以前很正常。

yanest

Nov 26, 2014

没有https，就这两天开始的。access分析了半天没分析出来啥。

twl007

Nov 26, 2014 via Android

你需要mod security……

被攻击还有一个现象是httpd会出现僵尸进程……

Fedor

Nov 26, 2014 via iPhone

我跑个题，这个是什么终端，需要怎么配置才能看到这样的top，是top么。

lightforce

Nov 26, 2014

@Fedor htop

WKPlus

Nov 26, 2014

虽然不太懂，但是就这张资源占用的图怎么能看出是不是被攻击呢？
至少可以先access log根据来源IP，User Agent来统计一下访问频率看看呢？

yanest

Nov 27, 2014

@WKPlus 因为平时正常使用的时候平均也就5%，最近频繁死机，而且个别httpd进程长时间很高。半夜也很高

BlueWolf

Nov 27, 2014

fail2ban+iptables

ryd994

Nov 27, 2014

@yanest 你按ip sort，然后 uniq计数，再sort，看访问量大的是哪几个

yanest

Nov 27, 2014

113.120.101.114 - - [27/Nov/2014:13:55:16 +0800] "POST /Api.html HTTP/1.1" 200 118 "-" "Mozilla/5.0(Linux;U;Android 2.2.1;en-us;Nexus One Build.FRG83) AppleWebKit/553.1(KHTML,like Gecko) Version/4.0 Mobile Safari/533.1"

我想屏蔽这样的user agent 应该怎么做？
我尝试了一下修改.htacess 没啥用，请哪位兄弟帮忙看一下该怎么弄

RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php/$1 [QSA,PT,L]
RewriteCond %{HTTP_USER_AGENT} ".*Nexus\ One.*"
RewriteRule ^(.*)$ http://fuck.you/
</IfModule>

yanest

Nov 27, 2014

http://int64ago.qiniudn.com/o_197ntso4mho215vd5r7165kcu7e.png