مشکل عجیب افزایش لود سرور تا ۵۰۰ تحت فعالیت های یوزر webapps

[Cpt.Liux]

لود با استاپ شدن آپاچی کاهش پیدا می کرد و اطمینان دارم که این مورد کاملا مربوط به آپاچی بوده است.
موضوع این است که دلیل این افزایش لود چه بوده.
در حقیقت چرا تعداد بی شماری پروسه اجرای php/cgi از طریق یوزر webapps در حال اجرا بود در حالی که در شرایط معمول هیچ پروسه ای توسط یوزر webapps اجرا نمی شود.

خیر. در صورت stop کردن httpd درخواست های mysql هم قطع میشه پس نمیشه گفت مشکل از Apache بوده. پروسه های php هم احتمال اینکه در حال اجرای کوئری بر روی mysql بوده باشند رو دارند.

یوزر webapps در لیست پروسس ها به معنی اجرای اسکریپت هایی هست که در /var/www/html واقع هستند. محتویات /var/www/html را چک کنید و ببینید چی داخلش هست.

[PE7A]

خیر. در صورت stop کردن httpd درخواست های mysql هم قطع میشه پس نمیشه گفت مشکل از Apache بوده. پروسه های php هم احتمال اینکه در حال اجرای کوئری بر روی mysql بوده باشند رو دارند.

یوزر webapps در لیست پروسس ها به معنی اجرای اسکریپت هایی هست که در /var/www/html واقع هستند. محتویات /var/www/html را چک کنید و ببینید چی داخلش هست.

بسیار ممنون از راهنمایی شما.
کاملا درست است.
در پوشه var/www/html تعدادی فایل وجود دارد که مربوط به موارد زیر است:
phpmyadmin
roundcube
squirrelmail

اما یک فایل دیگر هم هم با نام redirect.php وجود دارد.
در زمان افزایش لود اکثر پروسس های webapps در حال اجرای این فایل بودند و به احتمال 90 درصد افزایش لود به همین دلیل بوده است.

خاصیت فایل rediirect.php در این پوشه چیست؟
آیا می توانید در این مورد راهنمایی کنید؟

[Cpt.Liux]

محتویات این فایل رو اینجا بزارید یا با من به صورت پیام خصوصی ارتباط برقرار کنید تا برسی کنم.

[PE7A]

محتویات فایل redirect.php:

<?php
header("Location: http://".$_SERVER['HTTP_HOST'].":2222");
?>

[Cpt.Liux]

خوب مشکل از این فایل نیست. این به لاگین دایرکت ادمین ارسال میشه.

با توجه به اینکه phpmyadmin و وب میل ها داخل اون فولدر بودن میشه نتیجه گرفت لود به احتمال زیاد به دلیل یکی از اون ها (نظر من phpmyadmin) بوده. مثلا یوزری در حال ران کردن کوئری های سنگین روی دیتابیسش یا آپلود و ... بوده.

[PE7A]

خوب مشکل از این فایل نیست. این به لاگین دایرکت ادمین ارسال میشه.

با توجه به اینکه phpmyadmin و وب میل ها داخل اون فولدر بودن میشه نتیجه گرفت لود به احتمال زیاد به دلیل یکی از اون ها (نظر من phpmyadmin) بوده. مثلا یوزری در حال ران کردن کوئری های سنگین روی دیتابیسش یا آپلود و ... بوده.

با توجه به تعداد بسیار زیاد پروسه های در حال اجرای این فایل احتمال می دهم که صفحه لوگین دایرکت ادمین تحت حملات شدید بوده است و دلیل مشاهده این مورد در لیست پروسس ها هم همین مورد بوده است.

حمله به صفحه لوگین دایرکت ادمین این تئوری را هم تایید می کند که در شرایط عادی این پروسه میزان ناچیزی از منابع سرور مصرف می کند و هیچوقت در لیست پروسس های دستور top نشان داده نمی شود اما در زمان حمله به دلیل بالا رفتن لود سرور و تعداد بالای کانکشن ها روی این پورت در نهایت این پروسس (فراخوانی فایل redirect.php) در دستور top به تعداد فراوان قابل مشاهده بوده است.

نظر شما چیست؟

[Cpt.Liux]

با توجه به تعداد بسیار زیاد پروسه های در حال اجرای این فایل احتمال می دهم که صفحه لوگین دایرکت ادمین تحت حملات شدید بوده است و دلیل مشاهده این مورد در لیست پروسس ها هم همین مورد بوده است.

حمله به صفحه لوگین دایرکت ادمین این تئوری را هم تایید می کند که در شرایط عادی این پروسه میزان ناچیزی از منابع سرور مصرف می کند و هیچوقت در لیست پروسس های دستور top نشان داده نمی شود اما در زمان حمله به دلیل بالا رفتن لود سرور و تعداد بالای کانکشن ها روی این پورت در نهایت این پروسس (فراخوانی فایل redirect.php) در دستور top به تعداد فراوان قابل مشاهده بوده است.

نظر شما چیست؟

امکان حمله به هر صفحه ای که شامل درخواست به سرور هست وجود داره اما این صفحه redirect از نظر من گرینه خوبی برای حمله به شما نیست. اصولا اگر بخوان به صفحات حمله کنن به پیج های جستجو و ... حمله ور میشند چون میزان مصرف منابع بیشتری دارند. برای همین من نظرم روی پروسه های phpmyadmin بوده. برای تفسیرگر php اجرای این یک خط چیزی نیست که بخواد با 500 درخواست هم زمان هم لود سرور شما رو به 500 برسونه اما اجرای یه فایل sql با تعداد کوئری بالا روی سرور شما اجرا بشه احتمال بالا بردن لود رو داره.

[Yas-Host]

حتی زمانی top -c هم بزنید باز هم کامند کامل را نمایش نمی دهد ؟