Работа апача тормозит всю сеть

@anomal6 · Регистрация: 11.03.2013

Студворк — интернет-сервис помощи студентам

Доброго времени господа коллеги.
Суть такова. На VMW стоит ubunt'а, 16,04,3LTS на которой крутится апач и мускуль.
Всё работало всё ок, до того момента, пока апач не обновился, видимо

Bash
1
get update

сделал своё грязное дело.
Но суть не в этом. После обновления, посыпались ошибки, некоторые решил, на некоторые уже ответили на форумах. Вроде всё пришло на круги своя. Но вот спустя чуть чуть времени апач начинает падать. Как происходит.
Машина имеет статический ip /etc/network/intefaces настроен так

Code
1
2
3
4
5
6
7
8
9
# interfaces(5) file used by ifup(8) and ifdown(8)
auto lo
iface lo inet loopback
iface ens33 inet static
address 192.168.12.137
netmask 255.255.255.0
gateway 192.168.12.15
dns-nameservers 8.8.8.8 8.8.4.4
auto ens33

Видно что всё норм. Естественно машина в общей сети, но без NAT, прямым мостом.
Машина в общей сети организации, для удобства. Запускаю машину с апачем, она работает буквально 12-18 часов без тормозов, но потом происходит что то странное. Апач таааак тормозит, что заходит через раз, а общая сеть в организации работает точно так же, и дело не в роутере, как только я глушу машину с апачем (мою Ubuntu 16.04.3LTS) сеть приходит в норму.
С чем связанно не пойму, прошу помощи разобраться в данной проблеме.
Вот лог ошибок апача. Включил я его вчера в ~14:00 по МСК

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
[Mon Jun 18 21:25:29.021638 2018] [mpm_prefork:notice] [pid 3593] AH00163: Apache/2.4.18 (Ubuntu) configured -- resuming normal operations
[Mon Jun 18 21:25:29.021722 2018] [core:notice] [pid 3593] AH00094: Command line: '/usr/sbin/apache2'
[Mon Jun 18 21:41:24.850827 2018] [mpm_prefork:notice] [pid 3593] AH00169: caught SIGTERM, shutting down
[Mon Jun 18 21:41:26.033616 2018] [mpm_prefork:notice] [pid 6733] AH00163: Apache/2.4.18 (Ubuntu) configured -- resuming normal operations
[Mon Jun 18 21:41:26.033694 2018] [core:notice] [pid 6733] AH00094: Command line: '/usr/sbin/apache2'
[Mon Jun 18 21:43:17.328967 2018] [mpm_prefork:notice] [pid 6733] AH00169: caught SIGTERM, shutting down
[Mon Jun 18 21:43:18.443306 2018] [mpm_prefork:notice] [pid 7172] AH00163: Apache/2.4.18 (Ubuntu) configured -- resuming normal operations
[Mon Jun 18 21:43:18.443383 2018] [core:notice] [pid 7172] AH00094: Command line: '/usr/sbin/apache2'
[Mon Jun 18 23:05:33.572588 2018] [:error] [pid 9356] [client 203.195.132.58:1905] script '/var/www/html/wuwu11.php' not found or unable to stat
[Mon Jun 18 23:05:34.055989 2018] [:error] [pid 9399] [client 203.195.132.58:1984] script '/var/www/html/xw.php' not found or unable to stat
[Mon Jun 18 23:05:34.570828 2018] [:error] [pid 9385] [client 203.195.132.58:2064] script '/var/www/html/xx.php' not found or unable to stat
[Mon Jun 18 23:05:35.084697 2018] [:error] [pid 8945] [client 203.195.132.58:2104] script '/var/www/html/s.php' not found or unable to stat
[Mon Jun 18 23:05:35.581628 2018] [:error] [pid 8863] [client 203.195.132.58:2210] script '/var/www/html/w.php' not found or unable to stat
[Mon Jun 18 23:05:36.048029 2018] [:error] [pid 9355] [client 203.195.132.58:2278] script '/var/www/html/db.init.php' not found or unable to stat
[Mon Jun 18 23:05:36.549565 2018] [:error] [pid 8856] [client 203.195.132.58:2452] script '/var/www/html/db_session.init.php' not found or unable to stat
[Mon Jun 18 23:05:37.046265 2018] [:error] [pid 9358] [client 203.195.132.58:2519] script '/var/www/html/sheep.php' not found or unable to stat
[Mon Jun 18 23:05:37.582546 2018] [:error] [pid 9354] [client 203.195.132.58:2629] script '/var/www/html/index.php' not found or unable to stat
[Mon Jun 18 23:05:43.230844 2018] [:error] [pid 9354] [client 203.195.132.58:2629] script '/var/www/html/mysql/index.php' not found or unable to stat
[Tue Jun 19 06:37:17.184153 2018] [:error] [pid 9400] [client 116.204.103.129:25543] script '/var/www/html/mysql/index.php' not found or unable to stat
[Tue Jun 19 11:44:15.078641 2018] [:error] [pid 8856] [client 223.105.4.250:17113] script '/var/www/html/index.php' not found or unable to stat

P.S. И объясните пожалуйста, что за GET и POST запросы странные от ip 203.195.132.58 (ЧАЙНА)
часть лога access.log

КОД

Code
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
13.57.220.0 - - [18/Jun/2018:22:53:29 -0700] "GET / HTTP/1.1" 200 981 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3163.100 Safari/537.36"
203.195.132.58 - - [18/Jun/2018:23:05:33 -0700] "PROPFIND / HTTP/1.1" 405 530 "-" "-"
203.195.132.58 - - [18/Jun/2018:23:05:33 -0700] "POST /wuwu11.php HTTP/1.1" 404 465 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:34 -0700] "POST /xw.php HTTP/1.1" 404 461 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:34 -0700] "POST /xx.php HTTP/1.1" 404 461 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:35 -0700] "POST /s.php HTTP/1.1" 404 460 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:35 -0700] "POST /w.php HTTP/1.1" 404 460 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:36 -0700] "POST /db.init.php HTTP/1.1" 404 466 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:36 -0700] "POST /db_session.init.php HTTP/1.1" 404 474 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:37 -0700] "POST /sheep.php HTTP/1.1" 404 464 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:37 -0700] "GET /index.php HTTP/1.1" 404 501 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:37 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 200 11809 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:41 -0700] "GET /phpmyadmin/index.php HTTP/1.1" 200 11809 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:41 -0700] "GET /phpMyAdmin/index.php HTTP/1.1" 404 511 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:41 -0700] "GET /pmd/index.php HTTP/1.1" 404 504 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:41 -0700] "GET /pma/index.php HTTP/1.1" 404 504 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:42 -0700] "GET /PMA/index.php HTTP/1.1" 404 504 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:42 -0700] "GET /PMA2/index.php HTTP/1.1" 404 505 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:42 -0700] "GET /pmamy/index.php HTTP/1.1" 404 506 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:42 -0700] "GET /pmamy2/index.php HTTP/1.1" 404 507 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:43 -0700] "GET /mysql/index.php HTTP/1.1" 404 506 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:43 -0700] "GET /admin/index.php HTTP/1.1" 404 506 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:43 -0700] "GET /db/index.php HTTP/1.1" 404 503 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:44 -0700] "GET /dbadmin/index.php HTTP/1.1" 404 508 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:44 -0700] "GET /web/phpMyAdmin/index.php HTTP/1.1" 404 515 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:44 -0700] "GET /admin/pma/index.php HTTP/1.1" 404 510 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:44 -0700] "GET /admin/PMA/index.php HTTP/1.1" 404 510 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:45 -0700] "GET /admin/mysql/index.php HTTP/1.1" 404 512 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:45 -0700] "GET /admin/mysql2/index.php HTTP/1.1" 404 513 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:45 -0700] "GET /admin/phpmyadmin/index.php HTTP/1.1" 404 517 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:49 -0700] "GET /admin/phpMyAdmin/index.php HTTP/1.1" 404 517 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:49 -0700] "GET /admin/phpmyadmin2/index.php HTTP/1.1" 404 518 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:49 -0700] "GET /mysqladmin/index.php HTTP/1.1" 404 511 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:51 -0700] "GET /mysql-admin/index.php HTTP/1.1" 404 512 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:52 -0700] "GET /phpadmin/index.php HTTP/1.1" 404 509 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:53 -0700] "GET /phpmyadmin0/index.php HTTP/1.1" 404 512 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:53 -0700] "GET /phpmyadmin1/index.php HTTP/1.1" 404 512 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:53 -0700] "GET /phpmyadmin2/index.php HTTP/1.1" 404 512 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:53 -0700] "GET /myadmin/index.php HTTP/1.1" 404 508 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:54 -0700] "GET /myadmin2/index.php HTTP/1.1" 404 509 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:54 -0700] "GET /xampp/phpmyadmin/index.php HTTP/1.1" 404 517 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:55 -0700] "GET /phpMyadmin_bak/index.php HTTP/1.1" 404 515 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:57 -0700] "GET /www/phpMyAdmin/index.php HTTP/1.1" 404 515 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:57 -0700] "GET /tools/phpMyAdmin/index.php HTTP/1.1" 404 517 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:57 -0700] "GET /phpmyadmin-old/index.php HTTP/1.1" 404 515 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:57 -0700] "GET /phpMyAdminold/index.php HTTP/1.1" 404 514 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:58 -0700] "GET /phpMyAdmin.old/index.php HTTP/1.1" 404 515 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:58 -0700] "GET /pma-old/index.php HTTP/1.1" 404 508 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:58 -0700] "GET /claroline/phpMyAdmin/index.php HTTP/1.1" 404 521 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:58 -0700] "GET /typo3/phpmyadmin/index.php HTTP/1.1" 404 517 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:05:59 -0700] "GET /phpma/index.php HTTP/1.1" 404 506 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:06:00 -0700] "GET /phpmyadmin/phpmyadmin/index.php HTTP/1.1" 404 522 "-" "Mozilla/5.0"
203.195.132.58 - - [18/Jun/2018:23:06:01 -0700] "GET /phpMyAdmin/phpMyAdmin/index.php HTTP/1.1" 404 522 "-" "Mozilla/5.0"
192.241.202.63 - - [18/Jun/2018:23:15:54 -0700] "GET / HTTP/1.1" 200 981 "-" "Mozilla/5.0 zgrab/0.x"

Рыжий Лис · 24.06.2018, 12:39

Обновление апача скорей всего не причём, это китайский бот своим трафиком ложит вашу сеть. Забаньте этот ip на роутере - и все дела.

@anomal6 · 25.06.2018, 08:49 **[ТС]**

Сообщение от Рыжий Лис

Забаньте этот ip на роутере - и все дела.

ip каждый раз меняется

Dmitry · 25.06.2018, 08:52

погуглите по поводу fail2ban. это служба, которая может автоматически банить по самым разным критериям

@anomal6 · 26.06.2018, 12:55 **[ТС]**

Сообщение от Dmitry

погуглите по поводу fail2ban

Да,, есть такие костыли.
Но проблему решил отказавшись от apache.

Перечислив преимущества Ngnix, было решено перейти на него.
Правда с настройкой пока не всё понятно, но зато он намного гибче.

P.S. Никогда не думал что syn flood так глушит систему.

@gng · 26.06.2018, 15:20

Сообщение от anomal6

P.S. Никогда не думал что syn flood так глушит систему.

syn flood к вашему вопросу имеет какое-то отношение? Или вам словосочетание понравилось?

@anomal6 · 26.06.2018, 15:34 **[ТС]**

Сообщение от gng

syn flood к вашему вопросу имеет какое-то отношение?

Как я успел разобраться на примерах, предположил что это вид атаки syn flood.
Бот отправляет какой то syn пакет мне сказали, и в ответ получает одобрение, и делает это очень быстро, переполняя трафик.

Добавлено через 15 секунд

Сообщение от gng

syn flood к вашему вопросу имеет какое-то отношение?

Как я успел разобраться на примерах, предположил что это вид атаки syn flood.
Бот отправляет какой то syn пакет мне сказали, и в ответ получает одобрение, и делает это очень быстро, переполняя трафик.

@gng · 26.06.2018, 18:38

Сообщение от anomal6

Как я успел разобраться на примерах, предположил что это вид атаки syn flood.

По симптомам похоже, хотя из ваших логов это не следует. Только в случае син флуд смена Апача на Нджинкс вряд ли поможет. Атакуется tcp стек.

@anomal6 · 27.06.2018, 07:11 **[ТС]**

Сообщение от gng

Атакуется tcp стек.

Хотя Вы скорее всего правы. Потому что прошло уже более 24 часов, а nginx по прежнему безупречно работает. Правда с настройками туговато

Новые блоги и статьи Все статьи Все блоги /
Отчёт о спецтехнике находящейся в ремонте Maks 20.04.2026 Отчёт из решения ниже размещен в конфигурации КА2. Задача: отобразить спецтехнику, которая на данный момент находится в ремонте. Есть нетиповой документ "Заявка на ремонт спецтехники" который. . .	Памятка для бота и "визитка" для читателей "Semantic Universe Layer (Слой семантической вселенной)" Hrethgir 19.04.2026 Сгенерировано для краткого описания по случаю сборки и компиляции скелета серверного приложения. И пусть после этого скажут, что статьи сгенерированные AI - туфта и не интересно. И это не реклама -. . .	Запрет удаления строк ТЧ документа при определенном условии Maks 19.04.2026 Алгоритм из решения ниже реализован на примере нетипового документа "Аккумуляторы", разработанного в конфигурации КА2. У данного документа есть ТЧ, в которой в зависимости от прав доступа. . .	Модель заражения группы наркоманов alhaos 17.04.2026 Условия задачи сформулированы тут Суть: - Группа наркоманов из 10 человек. - Только один инфицирован ВИЧ. - Колются одной иглой. - Колются раз в день. - Колются последовательно через. . .
Мысли в слух. Про "навсегда". kumehtar 16.04.2026 Подумалось тут, что наверное очень глупо использовать во всяких своих установках понятие "навсегда". Это очень сильное понятие, и я только начинаю понимать край его смысла, не смотря на то что давно. . .	My Business CRM MaGz GoLd 16.04.2026 Всем привет, недавно возникла потребность создать CRM, для личных нужд. Собственно программа предоставляет из себя базу данных клиентов, в которой можно фиксировать звонки, стадии сделки, а также. . .	Знаешь почему 90% людей редко бывают счастливыми? kumehtar 14.04.2026 Потому что они ждут. Ждут выходных, ждут отпуска, ждут удачного момента. . . а удачный момент так и не приходит.	Фиксация колонок в отчете СКД Maks 14.04.2026 Фиксация колонок в СКД отчета типа Таблица. Задача: зафиксировать три левых колонки в отчете. Процедура ПриКомпоновкеРезультата(ДокументРезультат, ДанныеРасшифровки, СтандартнаяОбработка) / / . . .

Рыжий Лис Просто Лис 5973 / 3735 / 1099 Регистрация: 17.05.2012 Сообщений: 10,791 Записей в блоге: 9
	24.06.2018, 12:39
	Сообщение было отмечено anomal6 как решение Решение Обновление апача скорей всего не причём, это китайский бот своим трафиком ложит вашу сеть. Забаньте этот ip на роутере - и все дела. 1

Dmitry 13441 / 7534 / 831 Регистрация: 09.09.2009 Сообщений: 29,554
	25.06.2018, 08:52
	погуглите по поводу fail2ban. это служба, которая может автоматически банить по самым разным критериям 1

Опции темы

Работа апача тормозит всю сеть

Решение