Bonjour à tous,

Depuis 2 jours, mon serveur subit de drôle de choses la nuit à partir de 2 ou 4 heures du mat' environ.

Augmentation soudaine du CPU, blocage de la RAM à presque 100% et surtout, ce qui me rend le plus dingue de tout : VARIATION du niveau du disque dur !!!

La machine n'est pas (encore) hackée, mais par contre, j'ai un max de process anonymes vers /usr/local/apache/bin/httpd

Alors dans ma grande ignorance, je me dit que c'est une attaque, la plus classique de toutes, qui vise à ralentir mon serveur au maximum.

Mais est-ce celà ? Si oui que faire, si non qu'est-ce et que faire ?

ou vais-je ou courge ?
A l'aide
Merci
Thomas
J'ai killé les process anonymes, mais sans succès apparament

Malheureusement, je n'ai pas de réponses, mais depuis quelques jours, j'ai le même phénomène.

Pour ma part, c'est entre 8h et 10h que j'ai des piques de process http mais cela arrive de temps en temps à d'autres heures.

J'ai regardé mes logs apache, mais ????

Les piques de process me prennent les 400 threads autorisés à des heures de non-surcharge.

Est-ce que ce ne serait pas dû à l'utilisation d'aspirateurs de sites par vos visiteurs ?

Je ne pense pas qu'Apache créé des process sans raison...

En tout cas c'est bien une réelle attaque en règle à mon avis, à voir les pics de connections TCP en simultané.

Qui peut nous aider si en plus nous sommes plusieurs ?

Merci d'avance
Thomas

Je vous laisse admirer

http://ns30232.ovh.net/mrtg/mrtg-sys/

Et le graphique du disque dur tout en bas !!???? maintenant c'est même la capacité (vert) qui diminue également, et pas seulement le niveau d'utilisation qui varie. Impressionnant !

WebPa, puis-je savoir si nous sommes dans le même domaine ou non ? Afin d'identifier éventuellement un emmerdeur que l'on aurait en commun ?

Parce que je ne vois pas quel utilisateur aspirerait le site...

Thomas

Il doit bien y avoir quelque chose dont la baisse de la capacité totale du disque dur doit être caractéristique non ?

(voir le tout dernier graph en bas de
http://ns30232.ovh.net/mrtg/mrtg-sys/ )

Qui aurait une idée ?
Thomas

un fichier de logue qui grossit ?

connecte toi avec webmin et cherche sur ton disque... tu va trouver ...

possiblité: compte ftp annonyme utilisé en download par des petits malins..

possiblité2: un fichier de log...


le mieux est de configurer ton analyseur de fichiers de log et de regarder l'ip qui se connecte trés trés souvent (tes stats)

tu aura : la page, l'ip etc

Vu la descente en flèche de ton espace disque, regarde dans tes LOGs erreur d'apache.
ça débite sec sur ton interface LO... bizarre.
Bref, la réponse est dans tes LOGs.

vu que la courbe de perte d'espace à la meme pente je suis d'accord pour un probleme de log pour cette perte mais quelque chose la genere !
pour temps de logs pkoi pas du http

regarde les errors log de apache ainsi que tes logs classiques de plus on voit bien une augmentation de requete TCP depuis lundi tu as 3 grosses marches et ton debit et anormalement elever

cherche dans les logs le secret doit y etre

Ben les variations du disque correspondent à ta memoire vive qui baisse : ca swap normal . Enfin tu devrais ajouter de la mémoire.

demametz écrivait :
Ben les variations du disque correspondent à ta memoire vive qui baisse : ca swap normal . Enfin tu devrais ajouter de la mémoire.

le swap est une partition de taille defini.

Mon domaine d'appication est la photo animalière grand public.

http://ns1.animaux-net.com/mrtg/mrtg-sys/

Concernant le flood sur mon serveur, cela n'est absolument pas permanent.

Par exemple, hier et aujourd'hui, quasiment à la même heure (voir graphe des slots apache) et ce qui est sur, c'est que je n'ai aucune tâche de fond à cette heure ci.

De plus, parfois, c'est 1 fois par jour, d'autres jours, cela peut être 5 à 10 à des heures différentes.

Effectivement peut être un aspirateur, mais les logs apache ne me montrent rien de particulier ?

Salut tout le monde,
et merci pour votre aide,

je crois que j'ai enfin trouvé d'où venait la surcharge. Par contre, si j'arrive à stabiliser ça, est-ce que ces fichiers de logs appaches vont se vider tout seul ou bien faut-il que j'aille les effacer moi-même ? pour que l'espace disponible remonte...

Et si je dois les effacer, quelle serait la commande ?

Merci d'avance
Thomas

Le plus simple c'est d'attendre la rotation des logs qui se fait automatiquement.

Sinon, tu passes par Webmin > Autres > Gestionnaire de fichiers.
Tu vas dans le repertoire de tes logs et tu les supprimes, puis tu redemarres le serveur apache (Webmin> Serveur> Apache> Appliquer tout changements).

Tu vas dans le repertoire de tes logs et tu les supprimes... [/B]

bien sur avant tu fais une archive des logs par exemple :
- tu stop ton apache
- tu fais une archive
tar czf /home/mon_archive_de_log_apache.tar.gz /chemin/log/apache/

- tu supprimes les logs
- tu redermarres

Salut,

je crois que j'ai enfin trouvé d'où venait la surcharge.

C'était quoi le problème?


Moi j'ai eu aussi des problèmes de surcharge le matin vers 4h20. Y a-t-il quelque chose de spécial à cette heure-ci ?? Un traitement automatique ?

Merci,

Je ne saurai pas dire exactement QUOI provoque la surcharge la nuit chez moi, mais j'utilise un logiciel qui traite les emails entrant en les triant pour mes collègues, dans leurs dossiers personnels.

Et en fait, il semble que le manque de mémoire RAM fait qu'à certain pics, le swap n'assure plus lui-même non plus, et que tout part en c..... parce qu'en plus du serveur qui rame, c'est mon logiciel qui se met à ramer, et à me refaire N fois les mêmes tri, avec des logs de 30Mo à la clé...

enfin le cercle vicieux dans toute sa splendeur..

En baisant la fréquence de tri des emails entrant, j'arrive à calmer le jeu... mais alros maintenant, pourquoi àa commence tout le temps la nuit, alors même que le suite est en même temps peu visité et que c'est bien là qu'il pourrait avoir le plsu de RAM pour lui tout seul ?? je sais pô

Là, j'ai demandé à OVH de me monter la RAM à 256... je vais voir ce que ça donne.

Petit à petit, je vais augmenter la fréquence de tri... et j'étudierai ce que ça donne sur MRTG.

Je sais pas si mon expérience peu t'aider.... mais je crois que le concept de cercle vicieux est un bon concept ;-)

Vers 4h00 du matin il y a le traitement des logs apache (de chaque site hébergé sur le serveur) par Webalizer.
Sur les petites machines comme sur les grosses, ça provoque une augmentation de la charge, du CPU et de la lecture sur le disque (un petit peu d'écriture aussi).
Ça peut faire une jolie pointe dans les courbes.

Merci pour l'info sur webalizer ! (et merci à Thomas pour l'explication)

J'ai cherché mais impossible de savoir où sont gérées ces tâches automatiques.

Pas de crontab, alors, mais où se cachent-elles ? :eek:

Regarde dans la liste des taches CRON.

Par Webmin:

Système> Taches CRON

Tu as:
/etc/cron.daily/makewhatis.cron
/etc/cron.daily/logrotate
/etc/cron.daily/0anacron
/etc/cron.daily/rpm
/etc/cron.daily/slocate.cron
/etc/cron.daily/tmpwatch
/etc/cron.daily/sysstat
/etc/cron.daily/0logrotate-webalizer

C'est la rotation des logs, le traitement des logs par Webalizer etc...

Elles sont stockées dans les répertoires:

/etc/cron.daily
/etc/cron.hourly
/etc/cron.mouthly
/etc/cron.weekly

Je n'arive pas à tout comprendre de mon graphe MRTG du disque dur?.

Au début, je croyais que le vert était la capacité totale et qu'elle ne changeait pas, et que ce que j'utilisais était la ligne bleue.

Et puis ensuite j'ai apris par vous (merci) que c'était le vert qui était l'espace libre (et non pas la surface totale), et que donc ce que j'utilisais était tout logiquement la différence entre l'espace libre et 100%.

Mais alors ?? c'est quoi la ligne bleue ?

Parce que maintenant que j'arrive à faire gentiment remonter mon espace disponible (vert) c'est la ligne bleue qui s'excite à monter toute seule !! grrr

C'est quoi la ligne bleue ?

Merci d'avance
Thomas

Dans le graph Espace disque le vert représente l'espace pour le dossier /home
La courbe bleu represente l'espace / (système)

Si ta courbe bleu fait des hauts et des bas c'est qu'il y a quelque chose qui n'est pas net, regarde dans ton dossier /tmp par exemple s'il n'y a pas des residus (voir même très gros residus) de mod_gzip etc etc.

Tu as deux partitions sur ton disque :
/ (tous les dossiers autres que /home) et /home

Le bleu est la partition / et la verte la partition /home