server-status

Легкий http-флуд, считай ddos ;)

Потыкай в SSH эту команду:

curl http://localhost/whm-server-status |grep HTTP/1 |sed -r 's|<[a-z\/ ]+>| |g' |sed -r 's|^ +||g'  awk '{print $1}'|sort| uniq -c|sort -n

Увидишь с какого IP больше всего запросов, далее можно сделать вариации на тему отлова флудеров и бана через фаер.

Результат.

# curl http://localhost/whm-server-status |grep HTTP/1 |sed -r 's| <[a-z\/ ]+>| |g' |sed -r 's|^ +||g' awk '{print $1}'|sort| uniq -c|sort -n

sed: can't read awk: No such file or directory

sed: can't read {print $1}: No such file or directory

% Total % Received % Xferd Average Speed Time Time Time Current

Dload Upload Total Spent Left Speed

100 289 100 289 0 0 35887 0 --:--:-- --:--:-- --:--:-- 0

Сорри синтаксис выправил:

curl http://localhost/whm-server-status |grep HTTP/1 |sed -r 's|<[a-z\/ ]+>| |g' |sed -r 's|^ +||g' |awk '{print $1}'|sort| uniq -c|sort -n

curl http://localhost/whm-server-status |grep HTTP/1 |sed -r 's|<[a-z\/ ]+>| |g' |sed -r 's|^ +||g' |awk '{print $1}'|sort| uniq -c|sort -n

% Total % Received % Xferd Average Speed Time Time Time Current

Dload Upload Total Spent Left Speed

100 289 100 289 0 0 2812 0 --:--:-- --:--:-- --:--:-- 0

А в логе доступа это:

::1 - - [01/Nov/2008:10:24:44 +0200] "GET / HTTP/1.0" 403 5043 "-" "Apache/2.2.3 (CentOS) (internal dummy connection)"

::1 - - [01/Nov/2008:10:24:45 +0200] "GET / HTTP/1.0" 403 5043 "-" "Apache/2.2.3 (CentOS) (internal dummy connection)"

::1 - - [01/Nov/2008:10:24:46 +0200] "GET / HTTP/1.0" 403 5043 "-" "Apache/2.2.3 (CentOS) (internal dummy connection)"

::1 - - [01/Nov/2008:10:24:47 +0200] "GET / HTTP/1.0" 403 5043 "-" "Apache/2.2.3 (CentOS) (internal dummy connection)"

::1 - - [01/Nov/2008:10:24:48 +0200] "GET / HTTP/1.0" 403 5043 "-" "Apache/2.2.3 (CentOS) (internal dummy connection)"

::1 - - [01/Nov/2008:10:24:49 +0200] "GET / HTTP/1.0" 403 5043 "-" "Apache/2.2.3 (CentOS) (internal dummy connection)"

::1 - - [01/Nov/2008:10:24:50 +0200] "GET / HTTP/1.0" 403 5043 "-" "Apache/2.2.3 (CentOS) (internal dummy connection)"

у Вас закрыт доступ к server-status через localhost :( так тчо не сработает пока не будет доступа :(

флуд, ага. c адреса ::1.

::1 - - [01/Nov/2008:10:24:50 +0200] "GET / HTTP/1.0" 403 5043 "-" "Apache/2.2.3 (CentOS) (internal dummy connection)"

Работает apache2 так. Все нормально. В server-status нужно впервую очередь обращать внимание что делает процесс, а то ведь даже если он отдыхает или его нет дома, то все равно там будет показан последний запрос.

Большое число таких запросов в server-status это даже хорошо. Значит кроме родительского процесса потомков apache никто не беспокоит.

Помоему открыто всем.

Кусок конфига:

<Location /server-status>

SetHandler server-status

Order deny,allow

# Deny from all

Allow from all

</Location>

Это реальный IP.

А не от меня ли это кто то ломится на удалённый адрес?

traktor добавил 01.11.2008 в 15:36

Поставил KeepAlive в положение Off .

Процессы исчезли.

Вывод: не флуд-ддос.

Поспешил. Процессы не исчезли, появились минут через 7 после рестарта.

нде, тормознул 😎

Неа, только 2.2

Все нормально Netwind правильно сказал ☝

Тогда непонятно откуда апач или кто-то знает об этом хосте: хх-ххх-хх-ххх.host.net ?

Как отследить кто туда ломится, и почему?

Ну PID у таких процессов есть ? они реально постоянно выполняются и помечены непустым флагом?

Если нету, то и не стоит беспокоиться. Это команда завершения работы потомку.

В вашем примере в первом сообщении PID пустой. То есть это просто пустой слот и показывается информация о последнем запросе.

В других версиях подобный запрос уже выглядит как OPTIONS * и никогда не вызывает лишней работы.

http://wiki.apache.org/httpd/InternalDummyConnection