Что означают множественные слеши в колонке Request в server-status?

12 3
aprika
На сайте с 05.06.2006
Offline
144
2200

Здравствуйте. Возникла проблема: временами сайты на сервере начинают подвисать. Виснет только Apache, все остальное (ftp, ssh) работает без тормозов. Свободной памяти на сервере в эти моменты достаточно.

Перезагрузка Apache восстанавливает работу сервера до следующей волны тормозов (атаки?).

В моменты тормозов server-status забит "W" Sending Reply и записями типа:

Srv PID Acc M CPU SS Req Conn Child Slot Client VHost Request

1-1 1071 0/64/137092 W 0.00 56 0 0.0 0.65 1681.56 [IP самого сервера] :8080 GET ///////////////////////////////////////////////////////////

А top в это время показывает простыню процессов php причем не от root, а от пользователя (владельца данного www).

Скажите, пожалуйста, что это может значить?

(◕‿◕)
T
На сайте с 09.12.2011
Offline
55
tls
#1
aprika:
[IP самого сервера]

Для начала настроить mod_remoteip

aprika
На сайте с 05.06.2006
Offline
144
#2
tls:
Для начала настроить mod_remoteip

Модуль настроен. По крайней мере, IP всех других запросов отображаются корректно. Что еще можно настроить?

T
На сайте с 09.12.2011
Offline
55
tls
#3

А как такой запрос выглядит в логах nginx'а?

aprika
На сайте с 05.06.2006
Offline
144
#4
tls:
А как такой запрос выглядит в логах nginx'а?

В логах пусто.

S
На сайте с 30.09.2016
Offline
469
#5
aprika:
Скажите, пожалуйста, что это может значить?

Это может значить, что кто-то тупо долбит сервер длинными запросами. В логах энджинкса пусто, потому что запрос идёт прямиком на порт 8080, а не на 80, которого слушает энджинкс. Была какая-то древняя уязвимость Линуха с переполнением буфера - может быть, какие пионеры её хотят поиметь.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
aprika
На сайте с 05.06.2006
Offline
144
#6
Sitealert:
Это может значить, что кто-то тупо долбит сервер длинными запросами. В логах энджинкса пусто, потому что запрос идёт прямиком на порт 8080, а не на 80, которого слушает энджинкс. Была какая-то древняя уязвимость Линуха с переполнением буфера - может быть, какие пионеры её хотят поиметь.

И что можно сделать?

S
На сайте с 30.09.2016
Offline
469
#7
aprika:
И что можно сделать?

Некоторые, например, прописывают в конфиге апача запрет на доступ извне:

Listen 127.0.0.1:8080
aprika
На сайте с 05.06.2006
Offline
144
#8
Sitealert:
Некоторые, например, прописывают в конфиге апача запрет на доступ извне:
Listen 127.0.0.1:8080

Уже прописан.

T
На сайте с 09.12.2011
Offline
55
tls
#9
Sitealert:
запрос идёт прямиком на порт 8080

А почему Client IP кривой?

aprika:
Уже прописан.

Искать Listen 8080, Listen IP:8080.

S
На сайте с 30.09.2016
Offline
469
#10
aprika:
Уже прописан.

Как-то противоречиво всё. Почему же тогда лог энджинкса пустой? Ведь запрос приходит сначала на порт 80. Откуда тогда много слэшей? Вроде как энджинкс их склеивает по умолчанию.

Хотя есть один интересный вариант. Это если сайт, расположенный на этом сервере, ломанули и гонят запросы скриптом прямиком на порт 8080.

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий