Processo suspeito de LFD do CSF sob o usuário apache

1

Acho que meu servidor recebeu o DOS por HTTP (porta 80).

Quando verifiquei o log de acesso do apache, ele mostrou que IPs específicos solicitavam /GET/HTTP1.1 mais de 150 vezes em um minuto.

Estou tentando limitar a conexão por IP via CSF.

No entanto, depois de instalar e configurar o CSF, recebo muitos e-mails de notificação como este:

Time:    Sun May 18 22:34:40 2014 +0700
PID:     11727 (Parent PID:1636)
Account: apache
Uptime:  73 seconds


Executable:

/usr/sbin/httpd


Command Line (often faked in exploits):

/usr/sbin/httpd


Network connections by the process (if any):

tcp6: 0.0.0.0:80 -> 0.0.0.0:0
tcp6: 0.0.0.0:443 -> 0.0.0.0:0
tcp: 127.0.0.1:57790 -> 127.0.0.1:11211


Files open by the process (if any):

/dev/null
/dev/null
/var/log/httpd/error_log
/dev/urandom
/var/log/virtualmin/xxx.com_error_log
/var/log/virtualmin/xxx.net_error_log
/var/log/virtualmin/xxx.com_error_log
/var/log/httpd/ssl_error_log
/var/log/httpd/access_log
/var/log/virtualmin/xxx.com_access_log
/var/log/httpd/ssl_access_log
/var/log/httpd/ssl_request_log
anon_inode:[eventpoll]
anon_inode:[eventpoll]
/dev/urandom
anon_inode:[eventpoll]


Memory maps by the process (if any):

7fb758000000-7fb758021000 rw-p 00000000 00:00 0
7fb758021000-7fb75c000000 ---p 00000000 00:00 0
......
7fb765fad000-7fb7669ad000 rw-p 00000000 00:00 0
7fb79bcfd000-7fb79d2f2000 rw-p 00000000 00:00 0

como afirmei acima, eu só quero limitar a conexão, então eu só modifiquei as portas CT_LIMIT e de entrada / saída em csf.conf

Eu sei que adicionar o caminho de execução no csf.pignore pode corrigir o problema, mas isso também irá frustrar o propósito de instalar o CSF em primeiro lugar.

Minhas especificações de servidor:

Centos 6.3 64-bit
RAM 6 GB
4 Cores
Memcached Installed on port 11211
Apache with Prefork MPM:
  StartServers       8
  MinSpareServers    8
  MaxSpareServers   16
  ServerLimit      100
  MaxClients       100
  MaxRequestsPerChild  4000
  Timeout 60
  KeepAlive On
  MaxKeepAliveRequests 1000
  KeepAliveTimeout 2

MySQL
used only for hosting a wordpress

Eu não sei o que aconteceu aqui. Alguém poderia me esclarecer?

    
por Vahn18 18.05.2014 / 21:39

0 respostas

Tags