Из какого файла вызывается процесс?

0

1

Здравствуйте,

Сразу прошу прощения, за возможные ошибки по созданию темы, так как, это первая мною созданная тема. Появилась проблема, с сервера, на сайт расположенный на этом же сервере идут GET запросы, которые не закрывают соединения, в следствии чего остается куча соединений в состоянии Sending Reply, а в mysql куча процессов SLEEP и на сайте ошибка «Too many connections».

Как узнать из какого файла они генерируются? В данный момент, через iptables запретил обращаться ip-адресу сервера к домену, что помогло, но это не кажется мне правильным и предполагаю что запросы продолжают генерироваться, что создает дополнительную нагрузку.

Дальше какая-то информация:

192.168.1.1 - Условное обозначение внешнего ip адреса сервера.

Access-log сайта.

#tail -f /path/to/site.access.log | grep 192.168.1.1
192.168.1.1 - - [23/Sep/2015:17:18:30 +0000] "GET /path/to/link HTTP/1.0" 200 24612 "-" "Mozilla/5.0 (Linux; U; Android 4.2.2; ru; GT-S7582 Build/JDQ39) AppleWebKit/534.30 (KHTM$
192.168.1.1 - - [23/Sep/2015:17:18:31 +0000] "GET /path/to/link HTTP/1.0" 200 2571 "-" "Mozilla/5.0 (Linux; U; Android 5.0.1; en-US; GT-I9500 Build/LRX22C) AppleWebKit/534.30 (K$
192.168.1.1 - - [23/Sep/2015:17:18:31 +0000] "GET /path/to/link HTTP/1.0" 200 2571 "-" "NokiaX2-00/5.0 (08.25) Profile/MIDP-2.1 Configuration/CLDC-1.1 Mozilla/5.0 AppleWebKit/42$
192.168.1.1 - - [23/Sep/2015:17:18:30 +0000] "GET /path/to/link HTTP/1.0" 200 24612 "-" "NokiaX2-00/5.0 (08.25) Profile/MIDP-2.1 Configuration/CLDC-1.1 Mozilla/5.0 AppleWebKit/4$
192.168.1.1 - - [23/Sep/2015:17:18:30 +0000] "GET /path/to/link HTTP/1.0" 200 24612 "-" "Mozilla/5.0 (Linux; Android 4.4.2; ru-ru; SAMSUNG GT-I9301I Build/KOT49H) AppleWebKit/53$
192.168.1.1 - - [23/Sep/2015:17:18:30 +0000] "GET /path/to/link HTTP/1.0" 200 24612 "-" "NokiaX2-00/5.0 (08.25) Profile/MIDP-2.1 Configuration/CLDC-1.1 Mozilla/5.0 AppleWebKit/4$

#lsof -ni :80 | grep username
apache2 15049 username   16u  IPv4 25034220      0t0  TCP 192.168.1.1:36595->192.168.1.1:http (ESTABLISHED)
apache2 15051 username   15u  IPv4 25033430      0t0  TCP 192.168.1.1:36598->192.168.1.1:http (ESTABLISHED)
apache2 15053 username   15u  IPv4 25028493      0t0  TCP 192.168.1.1:36602->192.168.1.1:http (ESTABLISHED)
apache2 15056 username   16u  IPv4 25034227      0t0  TCP 192.168.1.1:36604->192.168.1.1:http (ESTABLISHED)
.....
.....
apache2 15113 username   16u  IPv4 25034265      0t0  TCP 192.168.1.1:36660->192.168.1.1:http (ESTABLISHED)
apache2 15119 username   15u  IPv4 25028535      0t0  TCP 192.168.1.1:36663->192.168.1.1:http (ESTABLISHED)

Предполагаю, что это то, что нужно.

Попытки посмотреть, из какого файла вызываются данные процессы, безуспешны, так как cwd указывает только на корневую папку сайта:

# readlink /proc/15049/cwd
/var/www/username/data/www/domain.tld 

# cat /proc/15049/cmdline
/usr/sbin/apache2-kstart

Что я делаю не так?

Заранее спасибо. Всем добра.

Ссылка

←	Беда с Infiniband

ejabberd + myqsl

→

/var/www/username/data/www/domain.tld

Далее смотреть
GET /path/to/link

Если такого файла нет, значит это ЧПУ и нужно смотреть реврайты .htaccess

kiotoze ★★★★
(23.09.15 23:41:28 MSK)

Ответ на: комментарий от kiotoze 23.09.15 23:41:28 MSK

Здравствуйте,

GET /path/to/link - ссылка с ЧПУ, но это, вроде как уже входящий трафик, а мне бы хотелось отследить, откуда данный запрос посылается.

/var/www/username/data/www/domain.tld - это корневая папка, а в ней достаточно много файлов.

Так же, хотел бы уточнить, что предком процесса, например «15049» является процесс, который в /server-status отображается как Sending Reply, из чего могу предположить что это уже входящий трафик а не исходящий. Или я не прав?)

Fross
(24.09.15 04:47:07 MSK) автор топика

Ссылка

watch -n 0.1 ss -tp

не?

anonymous
(24.09.15 05:59:23 MSK)

Ответ на: комментарий от anonymous 24.09.15 05:59:23 MSK

Эти соединения висят в ESTABLISHED, потому без watch:

# ss -tp | grep 15049
ESTAB      0      0            192.168.1.1:36595         192.168.1.1:http     users:(("apache2",15049,16))

Похоже ничего нового.

# ps aux | grep 15049
root      8906  0.0  0.0   7832   880 pts/0    S+   03:31   0:00 grep 15049
username 15049  0.0  0.0 277024 13060 ?        S    Sep23   0:00 /usr/sbin/apache2 -k start

Fross
(24.09.15 06:33:01 MSK) автор топика

Ответ на: комментарий от Fross 24.09.15 06:33:01 MSK

А 'ls -l /proc/15049/fd/' чего пишет?

anonymous
(24.09.15 06:59:16 MSK)

Ответ на: комментарий от anonymous 24.09.15 06:59:16 MSK

# ls -l /proc/15049/fd
total 0
lr-x------ 1 root root 64 Sep 23 17:20 0 -> /dev/null
l-wx------ 1 root root 64 Sep 23 17:20 1 -> /dev/null
l-wx------ 1 root root 64 Sep 23 17:20 10 -> /var/www/httpd-logs/sub.domain.tld.access.log
l-wx------ 1 root root 64 Sep 23 17:20 11 -> /run/apache2/ssl_mutex (deleted)
lrwx------ 1 root root 64 Sep 23 17:20 12 -> anon_inode:[eventpoll]
lrwx------ 1 root root 64 Sep 23 17:20 13 -> socket:[25034216]
lrwx------ 1 root root 64 Sep 23 17:20 14 -> /var/www/username/data/mod-tmp/sess_0mssujs372gtb86uqpj2sv2t13
lrwx------ 1 root root 64 Sep 23 17:20 15 -> socket:[25032324]
lrwx------ 1 root root 64 Sep 23 17:20 16 -> socket:[25034220]
l-wx------ 1 root root 64 Sep 23 17:20 2 -> /var/log/apache2/error.log
lrwx------ 1 root root 64 Sep 23 17:20 3 -> socket:[24395374]
lr-x------ 1 root root 64 Sep 23 17:20 4 -> pipe:[24413542]
l-wx------ 1 root root 64 Sep 23 17:20 5 -> pipe:[24413542]
l-wx------ 1 root root 64 Sep 23 17:20 6 -> /var/www/httpd-logs/domain.tld.error.log
l-wx------ 1 root root 64 Sep 23 17:20 7 -> /var/www/httpd-logs/sub.domain.tld.error.log
l-wx------ 1 root root 64 Sep 23 17:20 8 -> /var/log/apache2/other_vhosts_access.log
l-wx------ 1 root root 64 Sep 23 17:20 9 -> /var/www/httpd-logs/domain.tld.access.log

Fross
(24.09.15 07:11:16 MSK) автор топика

Ответ на: комментарий от Fross 24.09.15 07:11:16 MSK

Ну что ещё предложить? Действительно, найдите файл, запрашиваемый по /path/to/link.

anonymous
(24.09.15 07:32:35 MSK)

Ответ на: комментарий от anonymous 24.09.15 07:32:35 MSK

Да /path/to/link в этом случае ведет конечно на этот же сервер, но ведь данный трафик может быть направлен на какой-либо другой сайт, в мир. В общем, антивирем или чем-то подобным проверять содержимое сайта на наличие вирусов, другого простого выхода, как я понял нет, что бы узнать что именно генерирует данные запросы.

Всем огромное спасибо, за участие)

Fross
(24.09.15 07:41:13 MSK) автор топика

Ответ на: комментарий от Fross 24.09.15 07:41:13 MSK

Тебе же сказали что делать! Делай! Смотри что в это файле, может там вэбшелл или подобное.

itn ★★★
(24.09.15 10:31:31 MSK)

Ссылка

Добавь Referer в логи, может, больше инфы будет.

~~berrywizard~~ ★★★★★
(24.09.15 11:57:21 MSK)

Ответ на: комментарий от berrywizard 24.09.15 11:57:21 MSK

Referer там есть, но эти запросы напрямую к ссылке обращаются. Ну да ладно, пользователь известен, нужно сайт чистить. Думал можно будет узнать из какого-файла вызываются данные запросы.

Всем еще раз спасибо.

Fross
(24.09.15 13:58:19 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Беда с Infiniband

Admin

ejabberd + myqsl

→

Похожие темы