Inondato con i processi di apache2

0

Sembra che sia stato inondato di richieste ai miei siti web, il che è molto strano, uso solo il mio server per uso privato, posso solo supporre che chi lo fa abbia un brutto motivo.

Questo sta succedendo su un server Ubuntu. Le cose vanno così male che il server alla fine blocca l'accesso a SSH.

Di seguito è riportato un log di questo

www-data  2417  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2418  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2419  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2422  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2424  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2425  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2426  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2427  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2428  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2433  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2435  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2436  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2442  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2443  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2444  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2445  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2448  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2451  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2452  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2454  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2456  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2457  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2458  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2459  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2460  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2462  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2463  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2464  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2465  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2468  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2471  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
postfix   2476  2000  0 17:32 ?        00:00:00 anvil -l -t unix -u -c
www-data  2480  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2481  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2482  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2484  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2485  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2486  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2489  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2491  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2497  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2498  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2502  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2503  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2504  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2505  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2507  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2508  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2509  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2510  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2511  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2512  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2514  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2515  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2516  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2517  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2518  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2519  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2520  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2521  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2522  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2523  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2524  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2525  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2526  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2527  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2528  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2529  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2530  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2531  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2532  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2534  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2535  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2536  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2537  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2538  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2539  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2541  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2542  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2543  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2544  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2545  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2546  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2547  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2548  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2549  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2550  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2551  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2552  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2553  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2554  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2555  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2556  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2557  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2558  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start

Ci sono solo tre pagine web a cui ho bisogno di accedere, c'è un modo per limitare l'accesso a queste tre pagine? o bloccare temporaneamente le richieste http.

    
posta mk_89 04.12.2016 - 18:41
fonte

2 risposte

1

il tuo apache è aggiornato? in caso contrario, potrebbe essere qualcosa di simile:

The byterange filter in the Apache HTTP Server 1.3.x, 2.0.x through 2.0.64, and 2.2.x through 2.2.19 allows remote attackers to cause a denial of service (memory and CPU consumption) via a Range header that expresses multiple overlapping ranges

link

forza l'apache ad avviare nuovi processi, non finisce mai, il sistema rallenta e alla fine si ferma.

    
risposta data 03.02.2017 - 06:23
fonte
0

Sono d'accordo con il commento. Sembra che il tuo server Apache non sia configurato correttamente.

Alcune cose che potrebbero anche aiutare, anche se queste non rispondono direttamente alla tua domanda originale.

  1. Se stai distribuendo solo 3 pagine su un server con risorse limitate, Apache è una scelta sbagliata a causa del suo utilizzo delle risorse. NGINX o uno degli altri server web ti servirebbe molto meglio.
  2. Se le pagine che stai servendo sono piuttosto statiche, utilizza il livello gratuito di Cloudflare per far fronte al tuo server e usa il firewall del server per bloccare tutti gli accessi tranne che dai server Cloudflare. Cloudflare bloccherà un certo numero di attacchi e servirà direttamente le pagine memorizzate nella cache, entrambi aiuterebbero qui.
  3. Ci stai mostrando i log errati perché quelli che contano sono i log del server che mostrano da dove provengono le connessioni. Se ci sono tipi di pattern per gli attacchi, puoi usare qualcosa come fail2ban per eliminare alcuni di essi. Ad esempio, puoi limitare il numero di accessi da qualsiasi indirizzo IP specifico, se il limite (ad esempio 2 hit al secondo, ad esempio), quindi bannare l'IP.
risposta data 05.12.2016 - 00:44
fonte

Leggi altre domande sui tag