这是被人攻击了吗？

两台web都是这样

access.log

https？

首先搞清楚到底是因为访问量大了还是程序不合理，还是被攻击。
被攻击的话可以deny掉非法访问😂😂😂

关键是搞不清楚。看了半天access.log也分析不出来啥。这两台才这样，以前很正常。

没有https，就这两天开始的。access分析了半天没分析出来啥。

你需要mod security……

被攻击还有一个现象是httpd会出现僵尸进程……

我跑个题，这个是什么终端，需要怎么配置才能看到这样的top，是top么。😂😂😂

@Fedor htop

虽然不太懂，但是就这张资源占用的图怎么能看出是不是被攻击呢？
至少可以先access log根据来源IP，User Agent来统计一下访问频率看看呢？

@WKPlus 因为平时正常使用的时候平均也就5%，最近频繁死机，而且个别httpd进程长时间很高。半夜也很高

fail2ban+iptables

@yanest 你按ip sort，然后 uniq计数， 再sort，看访问量大的是哪几个

113.120.101.114 - - [27/Nov/2014:13:55:16 +0800] "POST /Api.html HTTP/1.1" 200 118 "-" "Mozilla/5.0(Linux;U;Android 2.2.1;en-us;Nexus One Build.FRG83) AppleWebKit/553.1(KHTML,like Gecko) Version/4.0 Mobile Safari/533.1"

我想屏蔽这样的user agent 应该怎么做？
我尝试了一下修改.htacess 没啥用，请哪位兄弟帮忙看一下该怎么弄


RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php/$1 [QSA,PT,L]
RewriteCond %{HTTP_USER_AGENT} ".*Nexus\ One.*"
RewriteRule ^(.*)$ http://fuck.you/
</IfModule>