Apache mod 状态显示 ..正在阅读

Apache mod 状态显示 ..正在阅读

最近我的 apache 遭受了 DoS 攻击,攻击者向我们的 apache 发送了泛洪 SYN 请求,我知道这一点是因为当时我启用了 wireshark。

攻击结束后,我重启了 Apache,一切恢复正常。但问题是,当我从 mod-status 检查服务器状态时,出现了一些线程

> 0-92 61968 0/0/674 R 1125 0 0.0 0.00 22.93 ? ? ..reading..
> 0-92 61968 0/0/29 R 537889 0 0.0 0.00 0.01 ? ? ..reading..
> 0-92 61968 0/0/852 R 1158 15 0.0 0.00 15.05 ? ? ..reading..
> 0-92 61968 0/0/2 R 537933 578 0.0 0.00 0.02 ? ? ..reading..
> 0-92 61968 0/0/3 R 537933 0 0.0 0.00 0.02 ? ? ..reading..
> 0-92 61968 0/0/1 R 538060 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/2 R 538060 0 0.0 0.00 0.01 ? ? ..reading..
> 0-92 61968 0/0/71 R 538146 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/31 R 538146 0 0.0 0.00 0.01 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 R 1287665833 0 0.0 0.00 0.00 ? ? ..reading..
> 0-92 61968 0/0/0 K 1287665833 0 0.0 0.00 0.00

在我重启后,这些..reading.. 仍然会显示。您知道如何删除它吗?它来自哪里?

答案1

要验证您是否仍然受到攻击:

  1. 以 root 身份登录服务器
  2. 键入以下命令

    netstat -plan | grep :80 | awk {'print $5′} | cut -d: -f 1 | sort | uniq -c | sort -n

    您将看到一个 IP 列表,其中列出了每个 IP 与您的服务器的连接数。

  3. 如果任何 IP 有超过 100 个连接,那么就有可能这是您的攻击者。继续使用 APF(如果您已安装)或 CSF 阻止此 IP。

    apf -d IP
    

    或者

    csf -d IP 
    

答案2

我最近也在 apache-status 中看到了一些这样的问题。看起来它们会自动消失。我也在寻找解释。

关于这些进程在重启后不会消失,您可以尝试停止 apache:

killall -KILL httpd

然后重启它。它们可能是僵尸进程,apache 在重启时无法自行杀死它们。

答案3

我知道这种攻击几乎不可能被阻止,但要确保:您TimeOut是否已经微调了 Apache 值,还是将其设置为默认值(我认为是 300 秒)?如果是默认的 300 秒,您可以安全地将其更改为某个明显较低的值,例如1510030秒。

相关内容