OVH Community, your new community space.

Sobrecarga de servidor por "/usr/bin/host"


lobame
03/04/2014, 01:18
hola a todos aver si alguno puede ayudarme con el cast-control 1.4.2.8 linux estoi buscandolo en red y no lo en cuentro gracias

Samael
18/01/2014, 17:51
Si desactivas el cron de wordpress actívalo una vez al día mínimo desde el cron del servidor, de verdad que baja mucho el consumo con eso.
http://www.davidrabaez.com/por-que-y...-de-wordpress/

Si tienes ataques, bloquea los países con CSF o con el mod geoip puedes bloquear incluso por continentes. En mi caso cada web que levanto restrinjo los países más conflictivos y los que no necesito visiten las webs, de esa forma me evito muchos problemas.

DeimosNSV
17/01/2014, 23:23
Explorer y tfwfactory muchísimas gracias por los consejos.

De momento simplemente configurando bien fail2ban he conseguido que los ataques (que los sigo recibiendo y la mayoría desde china) ya no me afecten a la CPU. El servidor va fino, fino, ahora.

Respecto al resto de cosas que me ponéis no he podido mirarlas por falta de tiempo pero este fin de semana con calma las miraré una a una y así refuerzo el server, que con esto he conseguido apañar este ataque pero quien sabe en el futuro...

Muchas gracias de verdad, llevaba una semana desesperado.

tfwfactory
17/01/2014, 18:15
Qué tipo de máquina tienes lo primero y sistema operativo


Si usas wordpress primero de todo desactiva todos los plugins , despues haz un restart de apache y de mysql , accede a consola para esto y haz free -m , casca aqui lo que te sale

Despues de esto examina loslogs por httpd tanto de accesos como errores , identifica el pais que te ataca

Si tienes CSF retringe el pais al momento y bloquea los puertos de ataque

Cambia los puertos de SSH y securiza esto ya con failtoban

Actualiza tu versión de wordpress si hace falta , con la consola abierta examina cuando vayas activando cada plugin la memoria consumida , esto lo haces con free -m , se este modo ves como trabaja el procesador y el sistema y si te están bombardeando y consumiendo procesos en función de la memoria RAM disponible

En el archivo de configuración de wordpress agrega esta linea : define('DISABLE_WP_CRON', 'true');

Instala un sistema para examinar los accesos como por ejemplo Piwik o con un sistema de estadísticas de wordpress controlarás todo acceso

Instala en tu servidor estos módulos de apache : mod_security , mod_evasive

Con todo esto vamosa intentar mitigar el ataque si se produce , de igual modo desde el manager tienes la opción de firewall , como tambien las opciones de abuse de ovh para pasar la nota y que bloqueen esto



Por ultimo , que pasó con el AntiDDOS............... querido OVH ................. si ese que se paga a mayores .......

explorer
17/01/2014, 02:30
Es muy posible que las peticiones HTTP que veas con el netstat sean debidas a peticiones externas que no pueden ser servidas por el Apache debido al alto consumo de CPU por parte de host. O sea, que sea un efecto secundario del consumo de CPU.

¿Qué versión del paquete bind-utils tienes instalada?

Si entras en esta página del paquete bind-utils, verás (en el Changelog) que la versión 9.7.6-P2 corrigió un error de "excesivo consumo de CPU" al guardar zonas caché en el disco.

Los mensajes de error que ves en el error.log pueden ser provocados por peticiones a dominios que no tienes indicado como dominios virtuales en el Apache. Ejemplo: tienes un dominio www.tudominio.com definido como dominio virtual en el Apache, pero no tudominio.com, o web.tudominio.com o cualquier otra combinación que no coincida con www.tudominio.com. En esos casos, Apache mira en el archivo default para saber el DocumentRoot que debe servir, y por defecto es el que sale en el error.log, ya que no existe en el sistema (ergo estás en un sistema prefabricado que no ha tenido en cuenta ese caso).

La solución es añadir *.tudominio.com y tudominio.com al dominio virtual de www.tudominio.com O modificar el default para que saque un mensaje 404...

Las múltiples peticiones pueden ser debidas a ataques, naturalmente. El Wordpress es uno de los software que suelen ser probados por hackers y fisgones.

Lo del mensaje de error del wp-cron.php podría ser debido a un fallo de configuración del propio Wordpress. Este archivo se puede llamar de varias formas, pero las dos normales son: con las peticiones normales de los usuarios al visitar la página o, más cómodo y ligero, que sea el crontab del sistema el que se encargue de hacer una llamada a php5 con la ruta a ese archivo, para que lo ejecute cada x minutos.

Si estás seguro que está bien definida la ruta raíz del Wordpress dentro del sistema (y seguro que está porque sino no saldrían todos los contenidos) y si además las peticiones se producen a deshora, pues entonces hay que pensar en ataques. Tendrás que afinar el fail2ban.

DeimosNSV
16/01/2014, 20:16
Buenas tardes amigos,

Llevo mucho tiempo visitando el foro pero nunca había necesitado realizar una consulta ya que la base de conocimientos que tenéis es tan extensa que siempre encontraba la solución a mis problemas sin tener que preguntar nada.

El caso es que desde el sábado por la noche estoy teniendo un fallo en mi servidor y he buscado por internet y no parece que a nadie el haya pasado algo parecido (¡increíble!).

El tema es que aleatoriamente (o al menos parece que no sigue ningún patrón horario) hay un proceso en el servidor que se queda pillado y consume el 100% del procesador dejando las webs alojadas casi inaccesibles, y el acceso por ssh con paciencia. El proceso lo identifico con htop como "User: apache Command: /usr/bin/host". Pero no sé cual es ese proceso, ya que las peticiones "normales" a la web se realizan por "User: apache Command: /usr/sbin/httpd". Y además se sobrecarga a horas que no debería puesto que no hay un tráfico a esas horas, las webs tienen las mismas visitas que semanas atrás (sobre 30.000 al día), ni hay actualizaciones en las webs como para que ocurra eso...

Os paso unas imágenes donde se aprecian algunas gráficas del sistema.

En una el consumo excesivo de procesador por parte del sistema que "ahoga" al proceso del usuario (apache y demás servicios de la web).

http://imagizer.imageshack.us/v2/800x600q90/43/9i57.png


En esta se puede ver que apache no varía su consumo a esas hora por lo que no estamos hablando de una sobre carga de la web por exceso de visitas.

http://imagizer.imageshack.us/v2/800...0/829/l8uy.png


Y la que más desconcertado me deja. Entre un pico y el otro de procesador, se dispara el I/O de paquetes de una manera desproporcionada ya que en los días de más consumo rara vez había pasado de los 3.0k.

http://imagizer.imageshack.us/v2/800...0/585/gms5.png

He mirado los logs de conexiones y de errores. Los de conexiones no he visto nada raro. Pero en los de errores hay una cosa que no entiendo. me salen estos tres errores:

[Wed Jan 15 11:09:27 2014] [error] [client xxxx:xxxx:xxxx:xxxx::xx:xxxx] script '/var/www/vhosts/default/htdocs/wp-cron.php' not found or unable to stat

[Wed Jan 15 11:07:46 2014] [error] [client 127.0.0.1] File does not exist: /var/www/html/wordpress

y

[Wed Jan 15 23:19:54 2014] [error] [client 157.55.33.19] File does not exist: /var/www/vhosts/default/htdocs/robots.txt

Mi web está en /var/www/vhosts/midominio/wp-docs/ como puede ser que busque en "var/www/vhosts/default/htdocs/", normal que no lo encuentre... ¿Cómo podría arreglar eso? El servidor salvo por estos cuelgues funciona bien lo que significa que las rutas de acceso a las webs las detecta bien.

Y encima el error es continuo, pero os hablo del orden de que el documento de log tiene como 200.000 lineas solo con esos tres errores y algún otro error muy esporádico. Y EN SOLO TRES DÍAS.

Por un lado temo que pueda ser estos errores continuos los que sobrecarguen el servidor, pero por otro lado, estos errores son continuos 24 horas y sin embargo la sobrecarga aparece esporádicamente ya horas que no debería tener tráfico.

Realmente, si supiera que hace este proceso y, si no es indispensable, hay alguna forma de evitar que se ejecute me sobraría. Porque cuando mato el proceso se pasa horas sin ejecutarse y el servidor sigue funcionando perfectamente.

O saber que es lo que activa el proceso y lo pone a tope.

http://imagizer.imageshack.us/v2/800x600q90/7/03s4.png

He estado viendo que el comando host se encarga de devolver el nombre del servidor. He hecho una llamada a netstat y esto es lo que me he encontrado, cientos y cientos de lineas con la misma petición, y a estas horas no tengo visitas como para eso.

http://imagizer.imageshack.us/v2/800...0/838/8694.png

Además solo aparecen esas peticiones cuando en el htop me sale el host comiendo procesador. Si mato el proceso y al instante hago un netstat salen datos normales. Empiezo a pensar que pueden estar atacándome el servidor...

Gracias.