这是被人攻击了吗?

2014-11-26 12:49:13 +08:00
 yanest
有几个httpd进程总是很高。要如何分析一下呢?
http://int64ago.qiniudn.com/o_197l6re161gi51huh1tr09n41q0e9.png
3600 次点击
所在节点    Linux
15 条回复
yanest
2014-11-26 13:03:31 +08:00
两台web都是这样
itsjoke
2014-11-26 13:09:46 +08:00
access.log
plprapper
2014-11-26 13:12:12 +08:00
https?
hjc4869
2014-11-26 14:21:13 +08:00
首先搞清楚到底是因为访问量大了还是程序不合理,还是被攻击。
被攻击的话可以deny掉非法访问😂😂😂
yanest
2014-11-26 15:35:22 +08:00
关键是搞不清楚。看了半天access.log也分析不出来啥。这两台才这样,以前很正常。
yanest
2014-11-26 15:52:27 +08:00
没有https,就这两天开始的。access分析了半天没分析出来啥。
twl007
2014-11-26 17:57:16 +08:00
你需要mod security……

被攻击还有一个现象是httpd会出现僵尸进程……
Fedor
2014-11-26 19:48:17 +08:00
我跑个题,这个是什么终端,需要怎么配置才能看到这样的top,是top么。😂😂😂
lightforce
2014-11-26 19:50:02 +08:00
@Fedor htop
WKPlus
2014-11-26 22:35:23 +08:00
虽然不太懂,但是就这张资源占用的图怎么能看出是不是被攻击呢?
至少可以先access log根据来源IP,User Agent来统计一下访问频率看看呢?
yanest
2014-11-27 08:44:25 +08:00
@WKPlus 因为平时正常使用的时候平均也就5%,最近频繁死机,而且个别httpd进程长时间很高。半夜也很高
BlueWolf
2014-11-27 11:18:57 +08:00
fail2ban+iptables
ryd994
2014-11-27 13:42:11 +08:00
@yanest 你按ip sort,然后 uniq计数, 再sort,看访问量大的是哪几个
yanest
2014-11-27 14:04:36 +08:00
113.120.101.114 - - [27/Nov/2014:13:55:16 +0800] "POST /Api.html HTTP/1.1" 200 118 "-" "Mozilla/5.0(Linux;U;Android 2.2.1;en-us;Nexus One Build.FRG83) AppleWebKit/553.1(KHTML,like Gecko) Version/4.0 Mobile Safari/533.1"

我想屏蔽这样的user agent 应该怎么做?
我尝试了一下修改.htacess 没啥用,请哪位兄弟帮忙看一下该怎么弄


RewriteEngine on
RewriteCond %{REQUEST_FILENAME} !-d
RewriteCond %{REQUEST_FILENAME} !-f
RewriteRule ^(.*)$ index.php/$1 [QSA,PT,L]
RewriteCond %{HTTP_USER_AGENT} ".*Nexus\ One.*"
RewriteRule ^(.*)$ http://fuck.you/
</IfModule>
yanest
2014-11-27 14:11:35 +08:00

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/149389

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX