Inundado con procesos apache2

Navega tus respuestas
0

Parece que me han inundado las solicitudes a mis sitios web, lo cual es muy extraño, solo uso mi servidor para uso privado, solo puedo asumir que quien esté haciendo esto tiene un mal motivo.

Esto está sucediendo en un servidor Ubuntu. Cosas tan malas que el servidor finalmente bloquea el acceso a SSH.

Debajo hay un registro de esto 

www-data  2417  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2418  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2419  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2422  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2424  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2425  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2426  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2427  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2428  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2433  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2435  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2436  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2442  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2443  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2444  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2445  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2448  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2451  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2452  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2454  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2456  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2457  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2458  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2459  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2460  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2462  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2463  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2464  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2465  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2468  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2471  2129  0 17:32 ?        00:00:00 /usr/sbin/apache2 -k start
postfix   2476  2000  0 17:32 ?        00:00:00 anvil -l -t unix -u -c
www-data  2480  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2481  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2482  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2484  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2485  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2486  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2489  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2491  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2497  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2498  2129  0 17:33 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2502  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2503  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2504  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2505  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2507  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2508  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2509  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2510  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2511  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2512  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2514  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2515  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2516  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2517  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2518  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2519  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2520  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2521  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2522  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2523  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2524  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2525  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2526  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2527  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2528  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2529  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2530  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2531  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2532  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2534  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2535  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2536  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2537  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2538  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2539  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2541  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2542  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2543  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2544  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2545  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2546  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2547  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2548  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2549  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2550  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2551  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2552  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2553  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2554  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2555  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2556  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2557  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start
www-data  2558  2129  0 17:34 ?        00:00:00 /usr/sbin/apache2 -k start

Sólo hay tres páginas web a las que necesito acceder, ¿hay alguna forma de limitar el acceso a estas tres páginas? o bloqueando las solicitudes http temporalmente.

    
pregunta mk_89 04.12.2016 - 18:41
fuente

2 respuestas

1

¿tu apache está actualizado? Si no, podría ser algo como:

  

El filtro de intervalo en el servidor HTTP Apache 1.3.x, 2.0.x hasta   2.0.64, y 2.2.x a 2.2.19 permiten a los atacantes remotos causar una denegación de servicio (consumo de memoria y CPU) a través de un encabezado de rango que   expresa múltiples rangos superpuestos

enlace

obliga a Apache a iniciar nuevos procesos, nunca terminan, el sistema se ralentiza y finalmente se detiene.

    
respondido por el rsm 03.02.2017 - 06:23
fuente
0

Estoy de acuerdo con el comentario. Parece que tu servidor Apache está mal configurado.

Algunas cosas que también pueden ayudar, aunque no responden directamente a tu pregunta original.

  1. Si solo entrega 3 páginas en un servidor con recursos limitados, Apache es una mala elección debido a su uso de recursos. NGINX o uno de los otros servidores web te servirían mucho mejor.
  2. Si las páginas que está sirviendo son bastante estáticas, use el nivel gratuito de Cloudflare para dirigir su servidor y use el servidor de seguridad de los servidores para bloquear todo el acceso, excepto desde los servidores de Cloudflare. Cloudflare bloqueará una serie de ataques y servirá directamente a las páginas almacenadas en caché, ambas ayudarán aquí.
  3. Nos está mostrando los registros incorrectos porque los que cuentan son los registros del servidor que muestran de dónde provienen las conexiones. Si los ataques tienen algún tipo de patrón, puedes usar algo como fail2ban para eliminar algunos de ellos. Por ejemplo, puede limitar el número de visitas desde cualquier dirección IP específica, si el límite (por ejemplo, 2 visitas por segundo) y luego prohibir la IP.
respondido por el Julian Knight 05.12.2016 - 00:44
fuente

Lea otras preguntas en las etiquetas

¿Cuáles son los ejemplos de código que se encuentran en el antivirus polimórfico? ¿Para qué se usa sizeofblock en la tabla image_base_relocation?