目前我的服务器负载很大,我不知道为什么。 当我使用'top'命令时,有数百个使用“aux”命令的apache进程,但是在网上找不到任何告诉我这意味着什么的东西。 负载在50-150之间摆动,比平常要好50-150。
Netstat返回数百和数百行,如下所示:
tcp 0 0 xxx.xxx.xxx.xxx:45216 61.155.202.205:80 CLOSE_WAIT 28863/aux 几乎所有从61.155.xxx.xxx(不知道这是否是相关信息,但尽量给予)。
操作系统是CentOS:release 5.7 Final我们只运行LAMP堆栈,大约有30个网站没有太多的负载(或者我认为)。 我已经检查了所有vHosts的日志,但似乎没有得到很多/任何请求(不足以造成这种麻烦)。 我不确定是否有其他日志我应该检查?
它几天前就开始了; 据我所知,服务器上没有做任何更改。
有没有人有任何想法,我怎么可以追查是什么原因导致巨大的负荷? 还有其他的命令/日志,我错过了,可以帮助我找出问题所在?
这不是来自 61.155.xxx.xxx的连接。 这是61.155.202.205 上的networking服务器的连接。
它看起来非常像你的networking服务器向中国的ADSL连接上的其他networking服务器发出HTTP请求。 尝试使用tcpdump -n -A -s0 host 61.155.202.205来查看正在收集什么types的数据。 我怀疑这是恶意的
如果它是恶意的,请参阅我的服务器已被黑客入侵! 紧急情况 。
“许多阿帕奇进程”很可能是由高负载造成的 ,而不是造成高负载。 即使在50的平均负载情况下,我也希望看到HTTP请求需要花费几秒钟的时间。 在150会更糟糕。
为了可能帮助任何人碰到同样的事情,这是一个木马( Trojan.Perl.Shellbot-2 ),这是造成这个问题。 在这里和我的另一个问题398715的答案/评论之间,我们做了以下工作:
chkrootkit ,但没有发现 clamav ,它追踪了病毒的名称及其所在位置 apache添加到cron.deny文件并重新启动crond 这只是解决scheme的一部分; 在我们追踪漏洞的位置后,服务器仍然需要重build,但是这是一个好的开始,我们得到了服务器的备份和运行。
如果有人能想到我错过的任何事情,我做错了或可以做得更好,请让我知道。