我从 LayeredTech 租用了一个 Linux VM,它是 Xen Hypervisor 上的来宾。操作系统是 CentOS 5.3,运行 Apache2。几乎每天我的服务器都以这样的方式运行,让我相信我正在遭受 DDoS 攻击,但我找不到任何这样的证据。我正在运行 Apache Mod_security、MySQL 5.x、PHP 5.x,就版本而言,一切都是最新的。
VM 的功率相对较低,但是当没有出现此症状时,它可以很好地处理我的 Web 流量负载。
我的 Web 服务器将变得无响应,并且在登录后会有数百个 HTTPD 进程。我所有的虚拟主机都经过 chroot 并使用 SUexec,但所有生成的进程都以“apache”用户身份运行。
我的盒子上没有运行恶意网站,服务器没有显示被入侵的证据。
当问题发生时,我的平均负载超过 250,我需要做的就是强制重新启动 httpd,并且在 24-72 小时之间一切都很好。
我查看了所有我能想到的日志文件,但我找不到任何 DDoS 的证据,任何类型的“挖掘效应”类型的流量,什么都没有。一旦我重新启动 HTTPD,无论是什么导致它产生如此多的进程,都会停止。如果是由于高流量网站、大型网站上的首页链接或 DDoS,我会想象请求永远不会停止,并且在重新启动 httpd 后立即再次挂起我的服务器。
我还使用了各种工具,例如 apachetop 和其他实时监控工具,但我通常无法预测何时会发生这种情况,而当它发生时,服务器已经超载,除了杀死 HTTPD 之外什么都做不了。
我不知道如何防止这种情况发生,而且我不知道在哪里可以找到原因 - 任何想法都将不胜感激!
附加信息:
自从我构建服务器以来已经大约 2 年了,我根据我阅读的一些内容配置了这些参数,并且从未遇到过问题,但我不确定这些设置是否可以成为贡献者:
# prefork MPM
# StartServers: number of server processes to start
# MinSpareServers: minimum number of server processes which are kept spare
# MaxSpareServers: maximum number of server processes which are kept spare
# ServerLimit: maximum value for MaxClients for the lifetime of the server
# MaxClients: maximum number of server processes allowed to start
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule prefork.c>
StartServers 8
MinSpareServers 5
MaxSpareServers 20
ServerLimit 256
MaxClients 256
MaxRequestsPerChild 4000
</IfModule>
# worker MPM
# StartServers: initial number of server processes to start
# MaxClients: maximum number of simultaneous client connections
# MinSpareThreads: minimum number of worker threads which are kept spare
# MaxSpareThreads: maximum number of worker threads which are kept spare
# ThreadsPerChild: constant number of worker threads in each server process
# MaxRequestsPerChild: maximum number of requests a server process serves
<IfModule worker.c>
StartServers 2
MaxClients 150
MinSpareThreads 25
MaxSpareThreads 75
ThreadsPerChild 25
MaxRequestsPerChild 0
</IfModule>
