V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Distributions
Ubuntu
Fedora
CentOS
中文资源站
网易开源镜像站
yanest
V2EX  ›  Linux

这是被人攻击了吗?

  •  
  •   yanest · 2014-11-26 12:49:13 +08:00 · 3569 次点击
    这是一个创建于 3652 天前的主题,其中的信息可能已经有所发展或是发生改变。
    有几个httpd进程总是很高。要如何分析一下呢?
    http://int64ago.qiniudn.com/o_197l6re161gi51huh1tr09n41q0e9.png
    15 条回复    2014-11-27 14:11:35 +08:00
    yanest
        1
    yanest  
    OP
       2014-11-26 13:03:31 +08:00
    两台web都是这样
    itsjoke
        2
    itsjoke  
       2014-11-26 13:09:46 +08:00
    access.log
    plprapper
        3
    plprapper  
       2014-11-26 13:12:12 +08:00
    https?
    hjc4869
        4
    hjc4869  
       2014-11-26 14:21:13 +08:00 via iPhone
    首先搞清楚到底是因为访问量大了还是程序不合理,还是被攻击。
    被攻击的话可以deny掉非法访问😂😂😂
    yanest
        5
    yanest  
    OP
       2014-11-26 15:35:22 +08:00
    关键是搞不清楚。看了半天access.log也分析不出来啥。这两台才这样,以前很正常。
    yanest
        6
    yanest  
    OP
       2014-11-26 15:52:27 +08:00
    没有https,就这两天开始的。access分析了半天没分析出来啥。
    twl007
        7
    twl007  
       2014-11-26 17:57:16 +08:00 via Android
    你需要mod security……

    被攻击还有一个现象是httpd会出现僵尸进程……
    Fedor
        8
    Fedor  
       2014-11-26 19:48:17 +08:00 via iPhone
    我跑个题,这个是什么终端,需要怎么配置才能看到这样的top,是top么。😂😂😂
    lightforce
        9
    lightforce  
       2014-11-26 19:50:02 +08:00   ❤️ 1
    @Fedor htop
    WKPlus
        10
    WKPlus  
       2014-11-26 22:35:23 +08:00
    虽然不太懂,但是就这张资源占用的图怎么能看出是不是被攻击呢?
    至少可以先access log根据来源IP,User Agent来统计一下访问频率看看呢?
    yanest
        11
    yanest  
    OP
       2014-11-27 08:44:25 +08:00
    @WKPlus 因为平时正常使用的时候平均也就5%,最近频繁死机,而且个别httpd进程长时间很高。半夜也很高
    BlueWolf
        12
    BlueWolf  
       2014-11-27 11:18:57 +08:00
    fail2ban+iptables
    ryd994
        13
    ryd994  
       2014-11-27 13:42:11 +08:00
    @yanest 你按ip sort,然后 uniq计数, 再sort,看访问量大的是哪几个
    yanest
        14
    yanest  
    OP
       2014-11-27 14:04:36 +08:00
    113.120.101.114 - - [27/Nov/2014:13:55:16 +0800] "POST /Api.html HTTP/1.1" 200 118 "-" "Mozilla/5.0(Linux;U;Android 2.2.1;en-us;Nexus One Build.FRG83) AppleWebKit/553.1(KHTML,like Gecko) Version/4.0 Mobile Safari/533.1"

    我想屏蔽这样的user agent 应该怎么做?
    我尝试了一下修改.htacess 没啥用,请哪位兄弟帮忙看一下该怎么弄


    RewriteEngine on
    RewriteCond %{REQUEST_FILENAME} !-d
    RewriteCond %{REQUEST_FILENAME} !-f
    RewriteRule ^(.*)$ index.php/$1 [QSA,PT,L]
    RewriteCond %{HTTP_USER_AGENT} ".*Nexus\ One.*"
    RewriteRule ^(.*)$ http://fuck.you/
    </IfModule>
    yanest
        15
    yanest  
    OP
       2014-11-27 14:11:35 +08:00
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1592 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 16:58 · PVG 00:58 · LAX 08:58 · JFK 11:58
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.