Много httpd с владельцем root

вопросы по устройству ВДС, ресурсам, предустановленному софту и т.д.

Модераторы: Art.i, garry

Много httpd с владельцем root

Сообщение vovanmozg » Чт авг 22, 2013 2:12 am

На днях разбирался с проблемами на сервере, когда он очень тупил. В логах было очень-очень много обращений на один сайт. Top выдал 500 вхождений httpd. В основном для всех процессов владелец указан, например koronastom (как видно ниже), а для многих процессов владелец указан root. Кто и когда запускает эти процессы? Ведь для каждого клиента запускается свой Apache и, как я понимаю, у процессов httpd должен быть тот владелец, к чьему сайту обратились:
Код: выделить все
26791 root             1  44    0   174M     0K wait    1   0:00  0.00% <httpd>
27025 root             1  44    0   174M   712K wait    1   0:00  0.00% httpd
26789 root             1  44    0   174M     0K wait    4   0:00  0.00% <httpd>
27970 root             1  44    0   174M     0K wait    0   0:00  0.00% <httpd>
28124 root             1  44    0   174M     0K wait    0   0:00  0.00% <httpd>
27957 root             1  44    0   174M     0K wait    2   0:00  0.00% <httpd>
27017 root             1  45    0   174M     0K wait    3   0:00  0.00% <httpd>
27540 root             1  44    0   174M     0K wait    3   0:00  0.00% <httpd>
27968 root             1  44    0   174M     0K wait    2   0:00  0.00% <httpd>
27397 root             1  47    0   174M     0K wait    5   0:00  0.00% <httpd>
28142 root             1  53    0   174M     0K wait    6   0:00  0.00% <httpd>
28079 root             1  44    0   174M   712K wait    5   0:00  0.00% httpd
28134 root             1  44    0   174M     0K wait    6   0:00  0.00% <httpd>
27479 root             1  44    0   174M     0K wait    4   0:00  0.00% <httpd>
27966 root             1  44    0   174M     0K wait    0   0:00  0.00% <httpd>
27019 root             1  44    0   174M   716K wait    1   0:00  0.00% httpd
27967 root             1  44    0   174M     0K wait    6   0:00  0.00% <httpd>
27287 root             1  44    0   174M   712K wait    4   0:00  0.00% httpd
28022 root             1  47    0   174M     0K wait    5   0:00  0.00% <httpd>
27024 root             1  44    0   174M     0K wait    1   0:00  0.00% <httpd>
28132 root             1  44    0   174M     0K wait    4   0:00  0.00% <httpd>
28024 root             1  44    0   174M     0K wait    4   0:00  0.00% <httpd>
28025 root             1  44    0   174M     0K wait    2   0:00  0.00% <httpd>
26944 root             1  44    0   174M     0K wait    7   0:00  0.00% <httpd>
27664 root             1  44    0   174M     0K wait    2   0:00  0.00% <httpd>
26956 root             1  44    0   174M     0K wait    5   0:00  0.00% <httpd>
26785 root             1  52    0   174M     0K wait    5   0:00  0.00% <httpd>
28014 root             1  44    0   174M     0K wait    0   0:00  0.00% <httpd>
26828 root             1  47    0   174M     0K wait    7   0:00  0.00% <httpd>
29771 koronastom       1  44    0   178M 10056K sbwait  3   0:00  0.00% httpd
27466 root             1  44    0   174M     0K wait    0   0:00  0.00% <httpd>
28013 root             1  44    0   174M     0K wait    2   0:00  0.00% <httpd>
vovanmozg
 
Сообщений: 27
Зарегистрирован: Вт апр 15, 2008 5:27 am

Re: Много httpd с владельцем root

Сообщение vovanmozg » Чт авг 22, 2013 2:13 am

FreeBSD 8.2
vovanmozg
 
Сообщений: 27
Зарегистрирован: Вт апр 15, 2008 5:27 am

Re: Много httpd с владельцем root

Сообщение vovanmozg » Чт авг 22, 2013 2:15 am

Кое-что нашёл в viewtopic.php?t=7105
vovanmozg
 
Сообщений: 27
Зарегистрирован: Вт апр 15, 2008 5:27 am

Re: Много httpd с владельцем root

Сообщение Mikanoshi » Чт авг 22, 2013 3:30 am

Родительский процесс в ITK MPM запускается как рут, потом уже может создавать дочерние процессы с другими правами, если это прописано в конфиге. Worker вроде тоже, если вообще переключается, возможно только права понижает.
Но это точно не причина проблемы) Если спамят запросами типа брута админки в WP, нужно защищать. В случае же большого трафика использовать кеширование, ставить nginx спереди, короче это целая наука :)
Mikanoshi
 
Сообщений: 205
Зарегистрирован: Сб май 02, 2009 2:03 pm

Re: Много httpd с владельцем root

Сообщение vovanmozg » Чт авг 22, 2013 7:50 am

Вы как вводу глядели: по логам виден брут админки wordpress.
vovanmozg
 
Сообщений: 27
Зарегистрирован: Вт апр 15, 2008 5:27 am

Re: Много httpd с владельцем root

Сообщение Mikanoshi » Пт авг 23, 2013 1:29 am

Сейчас часто брутят, ботнет какой-то активизировался, одно время админки даже блокировали массово, firstvds кстати тоже)
Мой вариант защиты через кукисы. Совместим с AJAX скриптами и прозрачен для пользователя, меня избавил от подбора на 100%:
Для Apache: http://code.highspec.ru/snippets/3
или Nginx: http://code.highspec.ru/snippets/4
Тема на сёрче по этому бруту: http://forum.searchengines.ru/showthread.php?t=805626
Mikanoshi
 
Сообщений: 205
Зарегистрирован: Сб май 02, 2009 2:03 pm

Re: Много httpd с владельцем root

Сообщение otec » Пт авг 23, 2013 2:30 am

Можно админку переместить или закрыть доступ по IP.
otec
 
Сообщений: 331
Зарегистрирован: Чт апр 30, 2009 3:16 pm

Re: Много httpd с владельцем root

Сообщение Mikanoshi » Пт авг 23, 2013 3:45 am

Только если регистрация и профили на сайте не нужны.
Mikanoshi
 
Сообщений: 205
Зарегистрирован: Сб май 02, 2009 2:03 pm


Вернуться в Вопросы о работе сервера

Кто сейчас на форуме

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 2

cron