VPS - httpd, Direct Admin - monitor usług Opcje

[Mega_88]

Cześć, mam do Was pytanie bo nie bardzo wiem jak szukać i do czego się odnieść, a już kilka razy uzyskałem wyczerpującą odpowiedź na temat serwerów od Was. Jakiś czas temu padł serwer, ale pod tym kątem, że nie działały mi www na serwerze. Do Direct Admin normalnie się logowałem i serwer odpowiadał.

Jako, że to moje początku z dedykami to zacząłem błądzić po omacku i w Monitorze usługi (Direct Admin), przy usłudze "httpd" miałem wykorzystanie pamięci ponad 13GB i masę pid'ów. Może mi ktoś nakreślić co to oznacza, czemu tak się stało i jak można temu zaradzić w przyszłości ?

[emstawicki]

Nakreśl nam bardziej na czym pracujesz i na jakiej konfiguracji. Z treści posta wynika, iż posiadasz serwer dedykowany i postawioną na nim wirtualizację, na którym prawdopodobnie działa (ku uciesze @Damonsson) apache.

[Mega_88]

Tak, mam dedyka o parametrach:
3.4 GHz 2 Core
HDD: 2x 1TB Sata
RAM: 8GB

Mam na nim postawione ok 130 małych firmowych stron. Szczegółową konfiguracją ja się nie zajmowałem więc ciężko mi coś w tym temacie powiedzieć. Potrzebujesz czegoś jeszcze konkretnie żeby pomóc ustalić czemu to padło ?

[emstawicki]

Tak po omacku:
Usługa httpd powinna mieć dzieci odpowiednie do każdej strony, wtedy możesz sprawdzić, która strona generuje takie zużycie pamięci. Mam nadzieję, że masz ustawienie ograniczenie też na każdą stronę, które sumując nie może przekraczać dostępnej pamięci, a nawet powinno zostawiać zapas na pozostałe rzeczy - wszak nie samym httpd maszyna żyje .

[Mega_88]

Mam coś takiego w Direct Admin (Monitor Usług)

[PHP] pobierz, plaintext 
httpd	| httpd (pid 3642 3645 3649 3651 3675 3731 3732 3734 3736 3737 3739 3745 3769 3770 3771 3772 3773 29108 ) | 538.4 MB | Uruchom | Zatrzymaj	| Restartuj	| Przeładuj
[PHP] pobierz, plaintext 

W momencie jak wszystko padło miałem zużycie ponad 36GB i masę pid'ów (przeładowałem i jakoś wstało). Nie wiem czy dobrze rozumiem, ale jeden PID, na przykład 3642 to jeden użytkownik na danej stronie czy PID to jedna strona. Sorka za głupie pytanie, ale staram się to zrozumieć jakoś na chłopski rozum.

Znasz może jakieś artykuły w necie, książki gdzie mógłbym o tym coś poczytać ?

Ten post edytował Mega_88 31.08.2016, 13:04:41

[emstawicki]

36GB z 8GB na maszynie to wyczyn.

Tłumacząc po Twojemu
Każda stronka powinna działać pod innym PID (chyba że przydzielisz wiecej), wtedy możesz sprawdzić ile dany PID wcina zasobów. Z innej strony to każdy PID też powinien być uruchomiony przez innego użytkownika systemowego - klienta, którego jest stronka - wtedy możesz badać zużycie zasobów przez klienta obojętnie czy jest to zużycie przez httpd czy cgi.

Nie wiem czy DA udostępnia takie narzędzia, jak nie to musisz zrobić to z poziomu powłoki.

[Mega_88]

Właśnie nigdzie nie wiedzę w Direct Admin, żebym mógł sobie sprawdzić dla poszczególnych userów zużycie i co mi tak zas..ło.

W skrócie to w Direct Admin mam z poziomu roota dodanego resellera i przez niego dodawanych userów (1 user = 1 strona), około 130 więc jeden PID to jedna strona (o ile dobrze zrozumiałem). Serwer do tej pory działał bez problemów od jakiś 2-3 miesięcy dzisiaj coś mu odbiło i staram się właśnie ustalić od czego żeby znowu draki nie było.

Jakaś podpowiedź czy da się to zrobić z poziomu roota i gdzie szukać ?

[emstawicki]

Pobierz jakiś program to połączenia SSH z serwerem np. putty i połącz się - w google na pewno znajdziesz mnóstwo poradników.
Poszukaj w google również narzędzi do analizy obciążenia serwera, albo skorzystaj z domyślnych np. top - chociaż tu będzie trudno.
http://www.tecmint.com/command-line-tools-...ux-performance/
Do tego zorientuj się czy serwer jest zabezpieczony przed atakami, które mogą właśnie powodować taką sytuację - jeżeli nie to nawet jakiś prosty fail2ban + analiza access logów httpd.

[Mega_88]

Mam jeszcze pytanie, bo to chyba może być związane z dzisiejszym padnięciem serwera.

W logach znalazłem coś takiego:

[PHP] pobierz, plaintext 
Aug 31 13:53:18 s1 sshd[4089]: Accepted publickey for root from X.X.X.X port 52103 ssh2
Aug 31 13:53:18 s1 sshd[4089]: pam_unix(sshd:session): session opened for user root by (uid=0)
[PHP] pobierz, plaintext 

W pliku: /etc/csf/csf.allow mam taki wpis:

[PHP] pobierz, plaintext 
X.X.X.X # csf SSH installation/upgrade IP address - Thu Apr 21 11:21:04 2016
[PHP] pobierz, plaintext 

Dobrze myślę, że ktoś uzyskał dostęp do roota ? W obu przypadkach adres IP jest ten sam.

[emstawicki]

Sprawdziłeś co to za adres IP - może jest on taki sam jak adres publiczny serwera?

[Mega_88]

Cześć, jak loguje się do Direct Admin to po innym adresie niż ten, który wyświetlił się w logach, jednak są podobne bo zaczynają się od 85.128.X.X więc nie bardzo wiem jak to rozumieć.

Sprawdzałem inne logi, szukałem jeszcze jakieś śladów z tym IP i nic więcej nie znalazłem. Jeszcze też nie mogłem znaleźć zamknięcia tej sesji, bo jak ja się loguje na roota to log z logowania i wylogowania jest widoczny, a tutaj nie mogłem nic znaleźć. Dodatkowo ten PID 4089 był cały czas aktywny w procesach serwera przy sshd.

Ten post edytował Mega_88 1.09.2016, 07:42:06

[emstawicki]

Jak masz jeden jedyny serwera adres publiczny (albo swój w komputerku), różny od tego w logu i nie znasz źródłowego adresu IP połączenia to usuń go z białej listy, zamknij sesję oczywiście sprawdź czy to na pewno nie jest Twoja sesja.
Tak samo zaktualizuj klucze publiczne używane do logowania, najlepiej usuń wszystkie i wygeneruj nowe dla siebie.

A tak w ogóle to logowanie na konto root powinno być wyłączone!