Регистрация Войти
Рейтинг:0
Yohanim avatar Server

Apache Centos внезапно перестает работать на рабочем сервере

флаг it
Yohanim

У меня есть сервер Apache/HTTPD в GCP (экземпляр виртуальной машины) с версией

Версия сервера: Apache/2.4.6 (CentOS)
Сервер построен: 16 ноя 2020 16:18:20

Поскольку я был разработчиком, я не углублялся в настройку сервера. Итак, у меня проблема: на нашем производственном сервере дважды неожиданно отключался Apache/HTTPD.Я не уверен, что произошло. После прочтения нескольких статей в Интернете (а также поиска информации в SO и Google) я собираю все возможные проблемы с журналами и делаю вывод, что, возможно, наш сервер подвергся DDOS-атаке. Но все же я не уверен. Мне очень нужна ваша помощь, ребята, чтобы выяснить, что произошло на нашем сервере.

Служба httpd отключилась в 03:16, и я снова пытаюсь запуститься в 07:10. Вот несколько логов. (если вам нужно больше журналов, не стесняйтесь, дайте мне знать)

ssl_request_log

[12 октября 2021:03:18:11 +0700] 114.122.15.78 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "POST /public/api/mobile/.../... HTTP/1.1" 1097
[12 октября 2021:03:18:11 +0700] 114.122.15.78 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "POST /public/api/mobile/.../... HTTP/1.1" 277
[12 октября 2021:03:18:11 +0700] 114.122.15.78 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "POST /public/api/mobile/.../... HTTP/1.1" 277
[12 октября 2021:03:18:27 +0700] 114.122.15.78 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "POST /public/api/mobile/.../... HTTP/1.1" 467
[12 октября 2021:07:48:04 +0700] 182.1.65.179 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "GET / HTTP/1.1" 2513
[12 октября 2021:07:48:07 +0700] 182.1.65.179 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "GET /favicon.ico HTTP/1.1" -
[12 октября 2021:08:04:47 +0700] 182.1.65.179 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "GET / HTTP/1.1" 2513
[12 октября 2021:08:04:48 +0700] 182.1.65.179 TLSv1.2 ECDHE-RSA-AES128-GCM-SHA256 "GET /favicon.ico HTTP/1.1" -

ssl_access_log

114.122.15.78 - - [12/окт/2021:03:18:10 +0700] "GET /public/api/mobile/.../... HTTP/1.1" 200 112
114.122.15.78 - - [12/окт/2021:03:18:11 +0700] "POST /public/api/mobile/.../... HTTP/1.1" 200 1097
114.122.15.78 - - [12/окт/2021:03:18:11 +0700] "POST /public/api/mobile/.../... HTTP/1.1" 200 277
114.122.15.78 - - [12/окт/2021:03:18:11 +0700] "POST /public/api/mobile/.../... HTTP/1.1" 200 277
114.122.15.78 - - [12.10.2021:03:18:27 +0700] "POST /public/api/mobile/..../... HTTP/1.1" 200 467
182.1.65.179 - - [12.10.2021:07:48:04 +0700] "GET / HTTP/1.1" 200 2513
182.1.65.179 - - [12 октября 2021:07:48:07 +0700] "GET /favicon.ico HTTP/1.1" 200 -
182.1.65.179 - - [12.10.2021:08:04:47 +0700] "GET / HTTP/1.1" 200 2513
182.1.65.179 - - [12 октября 2021:08:04:48 +0700] "GET /favicon.ico HTTP/1.1" 200 -

Сообщения

12 октября, 03:20:01 xxx-server-1 systemd: запущен сеанс 211514 пользователя apache.
12 октября, 03:21:01 xxx-server-1 systemd: запущен сеанс 211515 пользователя apache.
12 октября, 03:22:01 xxx-server-1 systemd: запущен сеанс 211516 пользователя apache.
12 октября, 03:23:01 xxx-server-1 systemd: запущен сеанс 211517 пользователя apache.
12 октября, 07:09:31 Ядро xxx-server-1: Инициализация cgroup subsys cpuset
12 октября, 07:09:31 Ядро xxx-server-1: Инициализация cgroup subsys cpu
12 октября, 07:09:31 Ядро xxx-server-1: Инициализация cgroup subsys cpuacct
12 октября, 07:09:31 Ядро xxx-server-1: версия Linux 3.10.0-1127.19.1.el7.x86_64 ([email protected]) (версия gcc 4.8.5 20150623 (Red Hat 4.8. 5-39) (GCC)) #1 SMP Вт 25 августа 17:23:54 UTC 2020

access_log

::1 - - [12/окт/2021:02:12:16 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
186.33.94.58 - - [12/окт/2021:02:15:16 +0700] "GET / HTTP/1.1" 301 234 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, например Геккон) Хром/52.0.2743.116 Сафари/537,36"
78.128.112.14 - - [12.10.2021:02:17:15 +0700] "\x03" 400 226 "-" "-"
::1 - - [12/окт/2021:02:21:11 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:22:27 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:25:30 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:25:31 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:25:32 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:25:33 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:25:37 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:25:38 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:25:41 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:26:01 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:30:51 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:30:52 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:30:53 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:32:50 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:43:28 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:43:29 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:43:30 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:43:54 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:52:35 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:52:36 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:53:11 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:54:25 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:55:43 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:55:44 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:56:09 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:02:59:49 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:03:00:33 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:03:00:34 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:03:00:42 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:03:04:46 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
::1 - - [12/окт/2021:03:16:20 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.21 (внутреннее фиктивное соединение)"
182.1.93.51 - - [12/окт/2021:07:10:49 +0700] "GET / HTTP/1.1" 301 234 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, как Gecko ) Хром/93.0.4577.63 Сафари/537.36"
31.150.61.16 - - [12/окт/2021:07:10:52 +0700] "GET / HTTP/1.1" 301 234 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, например Геккон) Хром/51.0.2704.103 Сафари/537,36"

и что я думаю, что я получил DDOS-атаку на мой access_log которые показывают какой-то иностранный URL (поправьте меня, если я ошибаюсь). вот пример

112.78.156.175 - - [12.10.2021:08:10:50 +0700] "GET /id/sains/teori-gravitasi-bertentangan-dengan-hukum-kekekalan-energi HTTP/1.1" 301 301 "https:/ /www.bing.com/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, например Gecko) Chrome/94.0.4606.71 Safari/537.36 Edg/94.0.992.38"
::1 - - [12/окт/2021:08:10:59 +0700] "ОПЦИИ * HTTP/1.0" 200 - "-" "Apache/2.4.6 (CentOS) OpenSSL/1.0.2k-fips PHP/ 7.4.24 (внутреннее фиктивное соединение)"
182.1.65.179 - - [12/окт/2021:08:11:05 +0700] "GET / HTTP/1.1" 301 234 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, как Gecko ) Хром/93.0.4577.63 Сафари/537.36"
132.145.247.182 - - [12/окт/2021:08:11:20 +0700] "GET /id/ HTTP/1.0" 301 237 "http://www.rustamaji.net/id/" "Mozilla/5.0 ( Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, например Gecko) Chrome/83.0.4103.61 Safari/537.36"

error_log (я ничего не получил в eror_log)

[Пн, 11 октября, 23:47:59.036428 2021] [ядро: ошибка] [pid 23856] [клиент 45.146.164.110:48008] AH00126: недопустимый URI в запросе POST /cgi-bin/.%2e/.%2e/.% 2e/.%2e/bin/sh HTTP/1.1
[Вторник, 12 октября, 07:09:41.719194 2021] [suexec:notice] [pid 865] AH01232: механизм suEXEC включен (оболочка: /usr/sbin/suexec)

Мой вопрос в том, что заставляет мой сервер Apache неожиданно выключаться? И как предотвратить это в среде GCP? Я слышал, что облачная броня может помочь от DDOS-атаки (но так как я не уверен, в чем причина проблемы)

Пожалуйста помоги. Заранее спасибо. Я очень ценю вашу помощь.

80
0 + 0
php
Yohanim avatar
флаг it
Yohanim
пожалуйста, если кому-то нужна дополнительная информация, просто спросите меня. Мне очень нужна твоя помощь. я безуспешно пытался
0
Ответить
флаг Moldova
Admin
Этот вопрос на других языках:

Ответить или комментировать

Большинство людей не понимают, что склонность к познанию нового открывает путь к обучению и улучшает межличностные связи. В исследованиях Элисон, например, хотя люди могли точно вспомнить, сколько вопросов было задано в их разговорах, они не чувствовали интуитивно связи между вопросами и симпатиями. В четырех исследованиях, в которых участники сами участвовали в разговорах или читали стенограммы чужих разговоров, люди, как правило, не осознавали, что задаваемый вопрос повлияет — или повлиял — на уровень дружбы между собеседниками.