înregistrare Logare
Puncte:0
Yohanim avatar Server

Apache Centos nu mai funcționează brusc pe serverul de producție

drapel it
Yohanim

Am un server Apache/HTTPD la GCP (Instanță VM) cu versiune

Versiunea serverului: Apache/2.4.6 (CentOS)
Server construit: 16 noiembrie 2020 16:18:20

De când eram dezvoltator, nu avansez cu configurarea serverului. Deci am o problemă, serverul nostru de producție s-a oprit de 2 ori Apache/HTTPD în mod neașteptat.Nu sunt sigur ce sa întâmplat. După ce am citit mai multe articole pe internet (săpat și informații pe SO și Google), am colectat toate problemele posibile ale jurnalelor și am ajuns la concluzia că poate serverul nostru a primit atac DDOS. Dar tot nu sunt sigur. Am mare nevoie de ajutorul vostru pentru a afla ce s-a întâmplat pe serverul nostru.

Serviciul httpd s-a oprit la 03:16 și am încercat să pornesc din nou la 07:10. Iată niște jurnalele. (dacă aveți nevoie de mai multe loguri, nu ezitați să-mi anunțați)

ssl_request_log

[12/Oct/2021:03:18:11 +0700] 114.122.15.78 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 „POST /public/api/mobile/.../... HTTP/1.1” 1097
[12/Oct/2021:03:18:11 +0700] 114.122.15.78 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 „POST /public/api/mobile/.../... HTTP/1.1” 277
[12/Oct/2021:03:18:11 +0700] 114.122.15.78 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 „POST /public/api/mobile/.../... HTTP/1.1” 277
[12/Oct/2021:03:18:27 +0700] 114.122.15.78 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 „POST /public/api/mobile/.../... HTTP/1.1” 467
[12/Oct/2021:07:48:04 +0700] 182.1.65.179 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 „GET / HTTP/1.1” 2513
[12/Oct/2021:07:48:07 +0700] 182.1.65.179 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 „GET /favicon.ico HTTP/1.1” -
[12/Oct/2021:08:04:47 +0700] 182.1.65.179 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 „GET / HTTP/1.1” 2513
[12/Oct/2021:08:04:48 +0700] 182.1.65.179 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 „GET /favicon.ico HTTP/1.1” -

ssl_access_log

114.122.15.78 - - [12/Oct/2021:03:18:10 +0700] „GET /public/api/mobile/.../... HTTP/1.1” 200 112
114.122.15.78 - - [12/Oct/2021:03:18:11 +0700] „POST /public/api/mobile/.../... HTTP/1.1” 200 1097
114.122.15.78 - - [12/Oct/2021:03:18:11 +0700] „POST /public/api/mobile/.../... HTTP/1.1” 200 277
114.122.15.78 - - [12/Oct/2021:03:18:11 +0700] „POST /public/api/mobile/.../... HTTP/1.1” 200 277
114.122.15.78 - - [12/Oct/2021:03:18:27 +0700] „POST /public/api/mobile/..../... HTTP/1.1” 200 467
182.1.65.179 - - [12/Oct/2021:07:48:04 +0700] „GET / HTTP/1.1” 200 2513
182.1.65.179 - - [12/Oct/2021:07:48:07 +0700] „GET /favicon.ico HTTP/1.1” 200 -
182.1.65.179 - - [12/Oct/2021:08:04:47 +0700] „GET / HTTP/1.1” 200 2513
182.1.65.179 - - [12/Oct/2021:08:04:48 +0700] „GET /favicon.ico HTTP/1.1” 200 -

mesaje

12 octombrie 03:20:01 xxx-server-1 systemd: a început Sesiunea 211514 a utilizatorului apache.
12 octombrie 03:21:01 xxx-server-1 systemd: a început Sesiunea 211515 a utilizatorului apache.
12 octombrie 03:22:01 xxx-server-1 systemd: a început Sesiunea 211516 a utilizatorului apache.
12 octombrie 03:23:01 xxx-server-1 systemd: a început Sesiunea 211517 a utilizatorului apache.
12 octombrie 07:09:31 nucleul xxx-server-1: se inițializează cpuset subsistem cgroup
12 octombrie 07:09:31 nucleul xxx-server-1: se inițializează cpu-ul subsistemului cgroup
12 octombrie 07:09:31 nucleul xxx-server-1: se inițializează subsistemul cgroup cpuacct
12 octombrie 07:09:31 Nucleu xxx-server-1: Linux versiunea 3.10.0-1127.19.1.el7.x86_64 ([email protected]) (gcc versiunea 4.8.5 20150623 (Red Hat 4.4. 5-39) (GCC) ) #1 SMP marți 25 august 17:23:54 UTC 2020

access_log

::1 - - [12/Oct/2021:02:12:16 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
186.33.94.58 - - [12/Oct/2021:02:15:16 +0700] „GET / HTTP/1.1” 301 234 „-” „Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like) Gecko) Chrome/52.0.2743.116 Safari/537.36"
78.128.112.14 - - [12/Oct/2021:02:17:15 +0700] „\x03” 400 226 „-” „-”
::1 - - [12/Oct/2021:02:21:11 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:22:27 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:25:30 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:25:31 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:25:32 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:25:33 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:25:37 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:25:38 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:25:41 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:26:01 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:30:51 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:30:52 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:30:53 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:32:50 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:43:28 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:43:29 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:43:30 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:43:54 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:52:35 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:52:36 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:53:11 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:54:25 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:55:43 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:55:44 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:56:09 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:02:59:49 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:03:00:33 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:03:00:34 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:03:00:42 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:03:04:46 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
::1 - - [12/Oct/2021:03:16:20 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (conexiune falsă internă)"
182.1.93.51 - - [12/Oct/2021:07:10:49 +0700] „GET / HTTP/1.1” 301 234 „-” „Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KkoHTML, cum ar fi Gec) ) Chrome/93.0.4577.63 Safari/537.36"
31.150.61.16 - - [12/Oct/2021:07:10:52 +0700] „GET / HTTP/1.1” 301 234 „-” „Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like) Gecko) Chrome/51.0.2704.103 Safari/537.36"

și ceea ce cred că am primit un atac DDOS este asupra mea access_log care arată o adresă URL străină (corectează-mă dacă greșesc). aici este o mostră

112.78.156.175 - - [12/Oct/2021:08:10:50 +0700] „GET /id/sains/teori-gravitasi-bertentangan-dengan-hukum-kekekalan-energi HTTP/1.1” 301 301 „https:/ /www.bing.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, ca Gecko) Chrome/94.0.4606.71 Safari/537.36 Edg/94.0.992.38"
::1 - - [12/Oct/2021:08:10:59 +0700] „OPȚIUNI * HTTP/1.0” 200 - „-” „Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.24 (conexiune falsă internă)"
182.1.65.179 - - [12/Oct/2021:08:11:05 +0700] „GET / HTTP/1.1” 301 234 „-” „Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KkoHTML, cum ar fi Gec) ) Chrome/93.0.4577.63 Safari/537.36"
132.145.247.182 - - [12/Oct/2021:08:11:20 +0700] „GET /id/ HTTP/1.0” 301 237 „http://www.rustamaji.net/id/” „Mozilla/5.0 ( Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, ca Gecko) Chrome/83.0.4103.61 Safari/537.36"

error_log (nu am nimic la eror_log)

[Luni Oct 11 23:47:59.036428 2021] [core:error] [pid 23856] [client 45.146.164.110:48008] AH00126: URI nevalid în cererea POST /cgi-bin/.%2e/.%%2e/. 2e/.%2e/bin/sh HTTP/1.1
[Tue Oct 12 07:09:41.719194 2021] [suexec:notice] [pid 865] AH01232: mecanism suEXEC activat (wrapper: /usr/sbin/suexec)

Întrebarea mea este ce face ca serverul meu Apache să se închidă în mod neașteptat? Și cum să îl preveniți în mediul GCP? Am auzit că armura nor ar putea ajuta la atacul DDOS (dar din moment ce nu sunt sigur care este cauza problemei)

Te rog ajuta-ma. Mulțumesc anticipat. Apreciez cu adevărat ajutorul tău.

80
0 + 0
php
Yohanim avatar
drapel it
Yohanim
va rog daca cineva are nevoie de mai multe detalii intreaba-ma. Chiar am nevoie de ajutorul tău. Am incercat fara noroc
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.