这是一个创建于 3750 天前的主题,其中的信息可能已经有所发展或是发生改变。
top - 23:30:47 up 56 min, 1 user, load average: 3.06, 3.16, 3.59
Tasks: 76 total, 6 running, 70 sleeping, 0 stopped, 0 zombie
Cpu(s): 96.3%us, 3.0%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.7%si, 0.0%st
Mem: 1020384k total, 322148k used, 698236k free, 16096k buffers
Swap: 1044184k total, 0k used, 1044184k free, 72168k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
998 www 20 0 235m 36m 4344 R 19.6 3.6 8:44.12 php-cgi
999 www 20 0 235m 36m 4288 R 19.6 3.6 8:44.00 php-cgi
12407 www 20 0 229m 31m 3680 R 19.6 3.2 2:18.38 php-cgi
1001 www 20 0 233m 34m 4292 R 19.3 3.5 8:44.08 php-cgi
1002 www 20 0 231m 32m 4340 R 19.3 3.3 8:43.82 php-cgi
大部分时间是这样的状态
lnmp,wordpress跑个小博客,每天IP才5000K
追踪进程
ll /proc/998/fd/
lrwx------ 1 www www 64 Aug 24 23:32 0 -> socket:[8205]
l-wx------ 1 www www 64 Aug 24 23:32 1 -> pipe:[8210]
l-wx------ 1 www www 64 Aug 24 23:32 2 -> pipe:[8211]
lrwx------ 1 www www 64 Aug 24 23:32 3 -> socket:[147091]
lrwx------ 1 www www 64 Aug 24 23:32 4 -> socket:[147095]
服务器监控,很有规律的,每隔10来分钟,CPU就下来几分钟,然后又100%了
Tasks: 76 total, 6 running, 70 sleeping, 0 stopped, 0 zombie
Cpu(s): 96.3%us, 3.0%sy, 0.0%ni, 0.0%id, 0.0%wa, 0.0%hi, 0.7%si, 0.0%st
Mem: 1020384k total, 322148k used, 698236k free, 16096k buffers
Swap: 1044184k total, 0k used, 1044184k free, 72168k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
998 www 20 0 235m 36m 4344 R 19.6 3.6 8:44.12 php-cgi
999 www 20 0 235m 36m 4288 R 19.6 3.6 8:44.00 php-cgi
12407 www 20 0 229m 31m 3680 R 19.6 3.2 2:18.38 php-cgi
1001 www 20 0 233m 34m 4292 R 19.3 3.5 8:44.08 php-cgi
1002 www 20 0 231m 32m 4340 R 19.3 3.3 8:43.82 php-cgi
大部分时间是这样的状态
lnmp,wordpress跑个小博客,每天IP才5000K
追踪进程
ll /proc/998/fd/
lrwx------ 1 www www 64 Aug 24 23:32 0 -> socket:[8205]
l-wx------ 1 www www 64 Aug 24 23:32 1 -> pipe:[8210]
l-wx------ 1 www www 64 Aug 24 23:32 2 -> pipe:[8211]
lrwx------ 1 www www 64 Aug 24 23:32 3 -> socket:[147091]
lrwx------ 1 www www 64 Aug 24 23:32 4 -> socket:[147095]
服务器监控,很有规律的,每隔10来分钟,CPU就下来几分钟,然后又100%了
 |
1
rainysia 2014-08-25 09:50:33 +08:00
才 5000K IP.
100%你还想肿么样 |
 |
3
ChiChou 2014-08-25 10:46:27 +08:00  1
你的网站很有可能被黑,挂了 PHP DDOS 木马。简单说就是基于 php 的发包函数,用你的 vps 和流量对外发动攻击。
如果你能管理 php.ini 的话,建议临时禁用 socket 系列函数,然后查看日志,基本上就可以定位到木马位置。 |
 |
6
jk2r 2014-08-25 11:19:27 +08:00
0. 还是得弄一个干净的php脚本(或者新的web),跑一个benchmark,看机器是不是不行。
1. 先看一下access_log,看有没有异常请求量很多的代码。再看一下,有没有哪些网页,request_time很长的,如果有跳到2。 2. 手工debug代码,二分法查什么地方卡了。 3. strace -vv 一下cpu多的进程都在干嘛,发log上来。 |
 |
7
reyals OP access_log确实很异常,大量的403和404
这些请求的网站都不是我的站。 219.148.108.132 - - [17/Aug/2014:09:31:59 +0800] "GET http://www.atmji.com/checkip.aspx HTTP/1.1" 404 564 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" - 219.148.108.132 - - [17/Aug/2014:10:02:10 +0800] "GET http://www.qhdjrfw.com/checkip.aspx HTTP/1.1" 404 564 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" - 219.148.108.132 - - [17/Aug/2014:10:35:39 +0800] "GET http://www.atmji.com/checkip.aspx HTTP/1.1" 404 564 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" - 219.148.108.132 - - [17/Aug/2014:11:06:21 +0800] "GET http://www.atmji.com/checkip.aspx HTTP/1.1" 404 564 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" - 219.148.108.132 - - [17/Aug/2014:11:38:00 +0800] "GET http://www.data321.com/checkip.aspx HTTP/1.1" 404 564 "-" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)" - |
|
8
jk2r 2014-08-25 15:11:44 +08:00 1
404这个是抓站还是爬虫吧,从你日志看都是219.148.108.132。统计一下top10,不认识的,封了先看看情况。
|
|
9
reyals OP |
|
10
jk2r 2014-08-25 19:26:17 +08:00
不停请求,你也可以理解为DOS呗。PHP跑程序,当然就慢了。
代码级,fastcgi缓存、php页面级缓存(wordpress Memcached插件),都能缓解。 程序员范儿,可以cron扫访问日志找到TOP N的垃圾请求,iptables封IP。当然也可以lua。 不是有意攻击的话,还是有很多解决方法的。 PS:你的blog有5000k,日均500w IP? |
Select Language