Forum Debian Users Gang

Gregorov · 2016-02-02 18:12:57

Witajcie
Piszę tu po raz pierwszy gdyż nie mogę poradzić sobie z diagnozą problemu jakim jest zajęcie całej pamięci na moim VPS . Z 2 gb pamięci ram mój system zjadał do tejh pory lekko do 1 gb . Nagle pewnego dnia skoczyło zajęcie ramu do 2 gb. i całego prawie swapa. (500 mb). Z tego co widzę po komendzie top większość ramu trawi apache. Chciałbym mieć jakiś zapas ramu a nie wiem jak sprawdzić co powoduje te zajęcie. Może jakieś logi przejrzeć ??

z góry dziękuję za wszelką pomoc.

jbhdfeqw3 · 2016-02-02 18:20:58

Optymalizacja:
-prześledzić jakie moduły są włączone i czy muszą być włączone,
-ilość sesji i to co z tym związane (ile czasu etc)
-ilość otwartych plików przez www-data/apache

jest mysql więc może zapytania mogą być mało wydajne i apache czeka na ich wykonanie. Bardzo wiele zależności.
Na szczęście są narzędzia automatyzujące - szukaj frazy "apache tuning script" (nie pamiętam czego się używało)

ethanak · 2016-02-02 18:35:25

w przypadku apacza masz kilka razy pokazaną tą samą pamięć (ot, takie uroki fork/thread).
mod_status włączony? co pokazuje?
w logach apacza nie widać jakichś zbyt długich zapytań?
nikt nie zrobił kuku przez dziurawego wordpressa/drupala/joomlę?

uzytkownikubunt · 2016-02-02 18:46:41

2649

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:33:08)

Jacekalex · 2016-02-02 19:11:16

Zamiast Apacha radziłbym Nginxa z PHP-FPM, i do tego wszystkie procesy obciąć troszkę przez cgroup na twardo, i być może przez softlimit (pakiet daemontools) na miękko.

Ostatnio edytowany przez Jacekalex (2016-02-02 19:49:52)

ethanak · 2016-02-02 20:15:15

ale nginxa tam widziałem...
poza tym nginx nie zastąpi apacza (i vice versa).

mati75 · 2016-02-02 20:31:29

nginx jako proxy dla apache zrobić.

ethanak · 2016-02-02 20:47:27

owszem ja tak mam - nginx (ssl) via varnish (cache) i na końcu jakiś wordpress na apaczu (directadmin). tyle że ja mam jakiś kiloserwis...

Gregorov · 2016-02-02 21:07:04

ethanak napisał(-a):
w przypadku apacza masz kilka razy pokazaną tą samą pamięć (ot, takie uroki fork/thread).
mod_status włączony? co pokazuje?
w logach apacza nie widać jakichś zbyt długich zapytań?
nikt nie zrobił kuku przez dziurawego wordpressa/drupala/joomlę?

Dziękuję wszystkim za odpowiedzi . Przeglądając logi z apache error faktycznie dużo jest zapytań z wordpressa. Przeanalizuję to gdyż wcześniej było o połowę mniej ramu zużytego.

ethanak · 2016-02-02 21:10:58

sprawdź wtyczki do wordpressa - szczególnie te od cache (potrafią naprawdę zarżnąć serwer)

Gregorov · 2016-02-02 23:00:47

A można to gdzieś w logach odczytać ?? Teraz po wyłączeniu prawie wszystkich wtyczek dalej zarzyna ram .
W logach jest między inymi taki wpis co pare sekund

Ostatnio edytowany przez Gregorov (2016-02-02 23:06:39)

Jacekalex · 2016-02-02 23:11:27

Używasz modułu Xmlrpc do Wordpressa?

Jeśli nie, to zablokuj dostęp do skrypta /xmlrpc.php na poziomie Apache lub Nginxa (jeśli połączenie idzie przez Nginxa) - żeby zwracał odpowiedź 403 lub 404 najlepiej, natychmiast, bo to na 99.9% próba włamania do WP.

Jeśli natomiast używasz tego modułu WP, to przy dostępie do niego wsadź jakąś autoryzację na serwerze WWW, np przez htpasswd, albo lepiej przez certyfikaty SSL/PKCS#12.

Ethanak napisał(-a):
poza tym nginx nie zastąpi apacza (i vice versa).

Czy byłbyś tak uprzejmy wskazać jakieś tajemnicze właściwości Apacha, dzięki którym lepiej się nadaje od Nginxa+PHP-FPM do serwowania Wordpressa?

Bo ja wiem, że Apache ma pierdylion rożnych modułów i opcji, ale jakoś
w przypadku Wordpressa nie ogarniam tej doskonałości Apacha, chyba, że ktoś nie potrafi żyć bez htacces. :D

Nginx z resztą też już ma pierdylion różnych modułów.

Ostatnio edytowany przez Jacekalex (2016-02-02 23:18:12)

woitekd · 2016-02-02 23:12:14

zablokuj ip 185.130.5.209 na firewallu, boty odowłuja sie do xmlrpc.php a pózniej radze poszukać wtyczki która to zabezpieczy albo w pliku .htaccess

mati75 · 2016-02-02 23:12:19

Ustaw allow dla tego pliku tylko z IP serwera i 127.0.0.1. Dla reszty: deny from all.

dla htaccess:

Kod:

<Files "xmlrpc.php">
Order Allow,Deny
Allow from 127.0.0.1
Allow from X.X.X.X
Deny from all
</Files>

Jacekalex · 2016-02-02 23:20:45

woitekd napisał(-a):
zablokuj ip 185.130.5.209 na firewallu, boty odowłuja sie do xmlrpc.php a pózniej radze poszukać wtyczki która to zabezpieczy albo w pliku .htaccess

Przy miliionach dynamicznych adresów IP, banować po adresach?

Przyjemnej zabawy, możesz tak banować do usranej śmierci, aż w htacces albo w firewallu będziesz miał 2 mln wpisów z samego Orange. :D

Ostatnio edytowany przez Jacekalex (2016-02-02 23:21:11)

woitekd · 2016-02-02 23:24:06

tego jednego na teraz, z htaccess nie chodzilo mi o blokowanie ip.

Gregorov · 2016-02-02 23:42:26

mati75 napisał(-a):
Ustaw allow dla tego pliku tylko z IP serwera i 127.0.0.1. Dla reszty: deny from all.

dla htaccess:
Kod:
<Files "xmlrpc.php">
Order Allow,Deny
Allow from 127.0.0.1
Allow from X.X.X.X
Deny from all
</Files>

Dziękuję Ci bardzo bo coś pomogło i nagle po zablokowaniu jak mówiłeś ram zużyty 300 mb :) (yupi) ... nie wiem jak mam dziękować człowiek ciągle się uczy :)

teraz wyglada tak:

może warto zblokować ten ip ??

Ostatnio edytowany przez Gregorov (2016-02-02 23:49:24)

Jacekalex · 2016-02-03 00:54:41

Przydałby się jeszcze sensowny hashlimit w firewallu.

Np tak:

Kod:

iptables -I INPUT -m hashlimit -m tcp -p tcp -m multiport  --dports 80,443 --hashlimit-above 20/sec --hashlimit-mode srcip --hashlimit-name http -m state --state NEW -j DROP

Sznurek:
http://tlfabian.blogspot.com/2014/06/how-does-iptab … ule-work.html

Względnie możesz naskrobać małego demonka np w Peru czy Pythonie, który będzie czytał tego loga i wrzucał adresy do tablicy ipseta.
Tu masz conieco o użyciu ipseta:
https://forum.dug.net.pl/viewtopic.php?pid=269260

Można też jako wzór użyć skrypta httpd-guardian i modułu mod_evasive albo mod-security do Apacha.

Sznurki:
https://www.trustwave.com/Resources/SpiderLabs-Blog … orce-Attacks/
http://apache-tools.cvs.sourceforge.net/viewvc/apac … ?revision=1.6

morfik · 2016-02-03 01:53:53

Jacekalex napisał(-a):
Używasz modułu Xmlrpc do Wordpressa?

Jeśli nie, to zablokuj dostęp do skrypta /xmlrpc.php na poziomie Apache lub Nginxa (jeśli połączenie idzie przez Nginxa) - żeby zwracał odpowiedź 403 lub 404 najlepiej, natychmiast, bo to na 99.9% próba włamania do WP.

Ja tylko dodam, że by nie stosować 404, bo google bardzo nie lubi tego kodu. xD

No i te nowsze apacze mają nieco inna składnie, przykładowo:

Kod:

<Files "xmlrpc.php">
        Require all denied
        Require ip 127. 192.168.
</Files>

Jacekalex · 2016-02-03 04:03:03

Ja tylko dodam, że by nie stosować 404, bo google bardzo nie lubi tego kodu. xD

A co ma google do interfejsu komunikacyjnego xmlrpc w WP?

Z resztą od czego jest robots.txt? xD

Ostatnio edytowany przez Jacekalex (2016-02-03 04:08:01)

djjanek · 2016-02-03 08:54:11

Jak dobrze pamiętam to dzięki temu modułowi można wykonywać ataki na inne serwry. Kiedyś pisali chyba o tym na nie bezpieczniku.

Gregorov · 2016-02-03 15:11:53

A czy macie może jakiś tutorial jak blokować ip przez firewall w debianie ??

uzytkownikubunt · 2016-02-03 15:18:10

2657

Ostatnio edytowany przez uzytkownikubunt (2016-12-01 01:33:18)

Gregorov · 2016-02-03 15:26:16

Dzięki jesteście najlepsi :)

morfik · 2016-02-03 15:55:57

Jacekalex napisał(-a):
Ja tylko dodam, że by nie stosować 404, bo google bardzo nie lubi tego kodu. xD
A co ma google do interfejsu komunikacyjnego xmlrpc w WP?

No google weryfikuje strukturę strony. W nagłówku masz info o tym pliku, no i jak ten twój WP zwróci 404, to google da mu w łeb i obniży rating strony. No bo co to za serwis gdzie brakuje plików? xD Tak czy inaczej w WP można te mechanizmy powyłączać, tak by nie były uwzględniane w nagłówku. Plików też raczej bym nie usuwał (czy nie dawał 404) tylko odmawiał dostępu. Ten ktoś i tak nie uzyska dostępu do tego pliku, a po co dodatkowo drażnić googla? xD

Forum Debian Users Gang

Ogłoszenie

#1 2016-02-02 18:12:57

Gregorov - Użytkownik

Apache i ram

#2 2016-02-02 18:20:58

jbhdfeqw3 - Użytkownik

Re: Apache i ram

#3 2016-02-02 18:35:25

ethanak - Użytkownik

Re: Apache i ram

#4 2016-02-02 18:46:41

uzytkownikubunt - Zbanowany

Re: Apache i ram

#5 2016-02-02 19:11:16

Jacekalex - Podobno człowiek...;)

Re: Apache i ram

#6 2016-02-02 20:15:15

ethanak - Użytkownik

Re: Apache i ram

#7 2016-02-02 20:31:29

mati75 - Psuj

Re: Apache i ram

#8 2016-02-02 20:47:27

ethanak - Użytkownik

Re: Apache i ram

#9 2016-02-02 21:07:04

Gregorov - Użytkownik

Re: Apache i ram

ethanak napisał(-a):

#10 2016-02-02 21:10:58

ethanak - Użytkownik

Re: Apache i ram

#11 2016-02-02 23:00:47

Gregorov - Użytkownik

Re: Apache i ram

#12 2016-02-02 23:11:27

Jacekalex - Podobno człowiek...;)

Re: Apache i ram

Ethanak napisał(-a):

#13 2016-02-02 23:12:14

woitekd - Użytkownik

Re: Apache i ram

#14 2016-02-02 23:12:19

mati75 - Psuj

Re: Apache i ram

Kod:

#15 2016-02-02 23:20:45

Jacekalex - Podobno człowiek...;)

Re: Apache i ram

woitekd napisał(-a):

#16 2016-02-02 23:24:06

woitekd - Użytkownik

Re: Apache i ram

#17 2016-02-02 23:42:26

Gregorov - Użytkownik

Re: Apache i ram

mati75 napisał(-a):

Kod:

#18 2016-02-03 00:54:41

Jacekalex - Podobno człowiek...;)

Re: Apache i ram

Kod:

#19 2016-02-03 01:53:53

morfik - Cenzor wirtualnego świata

Re: Apache i ram

Jacekalex napisał(-a):

Kod:

#20 2016-02-03 04:03:03

Jacekalex - Podobno człowiek...;)

Re: Apache i ram

#21 2016-02-03 08:54:11

djjanek - Użytkownik

Re: Apache i ram

#22 2016-02-03 15:11:53

Gregorov - Użytkownik

Re: Apache i ram

#23 2016-02-03 15:18:10

uzytkownikubunt - Zbanowany

Re: Apache i ram