- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Как снизить ДРР до 4,38% и повысить продажи с помощью VK Рекламы
Для интернет-магазина инженерных систем
Мария Лосева
В 2023 году Одноклассники пресекли более 9 млн подозрительных входов в учетные записи
И выявили более 7 млн подозрительных пользователей
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Добрый день
Сервер: FreeBSD 6.3. /Pentium 4HT 3,0 Ghz / 2 гигабайта RAM/Апаче 2
На сервере 90% контента - статика HTML, остальное динамика PHP, работает ряд различных скриптов, суточная посещаемость в районе 130-140 тыс. уник. посетителей. На сервере висит десяток моих сайтов. Пара крупных, остальные мелочь.
Странная штука иногда случается, впечатление такое что сервер сам себя DDos-ит. Т.е. очевидно какой-то скрипт с ип-адрес сервера начинает интенсивно изнутри обращаться на 80 порт к Апачу. Сервак впадает в ступор сразу, резко повышается load average. Сегодня например, вечером, входящих коннктов висело 15-20 к 80 порту. А изнутри сервака порядка 250 обращений оодновременно к этому же порту. Я не являюсь спецом. Техподдержка (люди администрируюшие мой сервер) только разводят руками. Говорят, что какой-то скрипт, находящийся на серваке этим занимается. Они также проверяли на руткиты - ничего подозрительного не нашли.
Не знаю, относится ли это к делу, но вот уже давно, после установки файервола на серваке приходят по утрам от ОС емейлы security run output и там такое есть:
server ipfw denied packets:
+++ /tmp/security.eatNDRq5 2008-11-20 03:06:28.000000000 +0300
+00050 0 0 deny ip from table(1) to me // drop all from blacklist
+00190 11 440 deny ip from me to any dst-port 25 // deny SMTP
+65535 6246 518322 deny ip from any to anyipfw denied packets:
+++ /tmp/security.eatNDRq5 2008-11-20 03:06:28.000000000 +0300
+00050 0 0 deny ip from table(1) to me // drop all from blacklist
+00190 11 440 deny ip from me to any dst-port 25 // deny SMTP
+65535 6246 518322 deny ip from any to any
Ну вот такая петрушка.... Есть мысли?
как вариант "костыля" без выяснения причин закрыть файрволом доступ from me to me 80
Как вариант поиска скрипта. Искать find все php и все исполняемые файлы perl и в них грепать на предмет открытия стариниц сайта. К какой странице обращаются можно вычислить по access.log
Может на cron'е стоит вызов скриптов сайта?
В логи апача смотрите за это время - увидите ip
Андрейка в том то и дело что там видно свой же ip :)
izone, Грабера нет на сайте?
видимо это апачеГ 2.2.* версии, они постоянно стучат себя GET / по ИП на котором залистены
я убил их конекты фаерволом у себя. а потом убил 2.2.* и поставил 2.0.*
А вы выкладывайте код своей знаменитой баннерной системы написанной с нуля за одну ночь без зенда - мы и посмотрим :)
например, некоторые программисты имеют привычку проверять размеры картинок через getimagesize("http://...
Это ужасно.
там видно свой же ip
Как вариант, перед апачем стоит ещё и nginx, благодаря которому в логи пишется собственное айпи, а не "правильное".
все дело в скриптах которые там крутятся. нужно взглянуть, что за тема
как вариант "костыля" без выяснения причин закрыть файрволом доступ from me to me 80
Как вариант поиска скрипта. Искать find все php и все исполняемые файлы perl и в них грепать на предмет открытия стариниц сайта. К какой странице обращаются можно вычислить по access.log
Спасибо за совет по "костылю". Скажу техподдержке.
Насчет поиска - да, тоже об подумал, вчера ночью скинул копию сайта (со всеми скриптами) на винт- сегодня буду искать... На винте быстрее будет, чем на сервере. Спасибо.
izone добавил 20.11.2008 в 17:55
Может на cron'е стоит вызов скриптов сайта?
Штук 10 скриптов стоит на кроне. Ну это все нужное. Они и раньше стояли - проблем не было
izone добавил 20.11.2008 в 17:57
В логи апача смотрите за это время - увидите ip
Да, верно, как тут уже сказали - собственные ip видим
izone добавил 20.11.2008 в 18:03
izone, Грабера нет на сайте?
Вы как в воду глядите :) Есть :) Один автонаполняемый сайт в качестве экспермента на серваке живет более года. Он парсит сторонние рсс-ленты и на их основе делает страницы. Ну граббер контента в общем-то, да так и есть. Вчера ночью, как раз перед написанием этой темы отключил его.
izone добавил 20.11.2008 в 18:04
видимо это апачеГ 2.2.* версии, они постоянно стучат себя GET / по ИП на котором залистены
я убил их конекты фаерволом у себя. а потом убил 2.2.* и поставил 2.0.*
Версия apache 2.0.61
izone добавил 20.11.2008 в 18:05
Как вариант, перед апачем стоит ещё и nginx, благодаря которому в логи пишется собственное айпи, а не "правильное".
Нет, nginx-а - нет
izone добавил 20.11.2008 в 18:06
Спасибо всем откливнувшися! Направление поисков решения проблемы теперь понятно. Буду думать.