banner

[Rule] Rules  [Home] Main Forum  [Portal] Portal  
[Members] Member Listing  [Statistics] Statistics  [Search] Search  [Reading Room] Reading Room 
[Register] Register  
[Login] Loginhttp  | https  ]
 
Forum Index Thảo luận hệ điều hành *nix sever bị overload  XML
  [Question]   sever bị overload 07/03/2013 12:57:23 (+0700) | #1 | 273934
CucKiHungHan
Member

[Minus]    0    [Plus]
Joined: 15/02/2008 22:00:19
Messages: 37
Offline
[Profile] [PM]
Trang web của mình thỉnh thoảng có hiện tượng mãi mới vào được. Vào direct admin kiểm tra thì thỉnh thoảng nó báo overload và rất nhiều brute force attack (hiện tượng overload thì cứ cách khoảng 1, 2 hôm lại xuất hiện một lần)
Mình gõ lệnh top thì kết quả như sau:




ai biết hướng dẫn mình cách khắc phục với
[Up] [Print Copy]
  [Question]   sever bị overload 07/03/2013 16:41:21 (+0700) | #2 | 273939
[Avatar]
vitcon01
Member

[Minus]    0    [Plus]
Joined: 29/04/2009 11:28:21
Messages: 306
Offline
[Profile] [PM]
-Tại thời điểm vô chậm đó gõ lệnh sau rồi đưa kết quả lên xem sao:
Code:
ps -ef |grep httpd|wc -l

-Thiết lập firewall(IPTABLES) connection limit để hạn chết một số kỹ thuật tấn công.


JK - JH
()()()
LTKT - LTT
[Up] [Print Copy]
  [Question]   sever bị overload 07/03/2013 23:47:19 (+0700) | #3 | 273945
[Avatar]
quanta
Moderator

Joined: 28/07/2006 14:44:21
Messages: 7265
Location: $ locate `whoami`
Offline
[Profile] [PM]
- Bạn để ý dòng Cpu: 86.8%wa (`wa` là viết tắt của IO-Wait)
- Cột S có rất nhiều processes bị `D` state - Uninterruptible sleep.

Đây là nguyên nhân dẫn đến Load Average tăng cao, làm server bị chậm. Nhìn qua là có thể đoán được process nào là "thủ phạm" rồi. Để chắc chắn, bạn có thể cài `iotop` lên rồi chạy `sudo iotop -o` xem.

Nếu kernel bạn đang chạy < 2.6.20 thì có thể dùng `dstat`:
Code:
yum --enablerepo=rpmforge-extras update dstat
dstat -d --top-io --top-bio


Nếu MySQL là nguyên nhân, trước mắt bạn thử kiểm tra xem có nhiều temp tables được tạo ra trên disk không?
Code:
mysql> show global status like '%tmp_%';


`key_buffer_size` có đủ to để index MyISAM không?
Code:
mysql> show global variables like 'key_buffer_size';
# du -c /path/to/datadir/*/*.MYI


`query_cache_type` có enable không?
Code:
mysql> show global variables like 'query_cache%';


Mặc dù nhìn vào `top` output thì CPU còn thấp nên slow query có thể chưa phải là nguyên nhân chính, nhưng mình nghĩ cũng nên:
- bật slow query log lên
- enable log-queries-not-using-indexes
- set long_query_time = 0

rồi dùng `pt-query-digest` tuning từng thằng một: http://www.percona.com/doc/percona-toolkit/2.1/pt-query-digest.html
Let's build on a great foundation!
[Up] [Print Copy]
  [Question]   sever bị overload 11/03/2013 10:45:02 (+0700) | #4 | 274005
CucKiHungHan
Member

[Minus]    0    [Plus]
Joined: 15/02/2008 22:00:19
Messages: 37
Offline
[Profile] [PM]
Trước hết xin cám ơn anh em đã hướng dẫn!
Về linux mình không rành nên có khi a e hướng dẫn mình cũng không hiểu trừ khi chỉ cho mình từng bước cụ thể smilie (mình chỉ biết vào ssh và gõ mấy lệnh cơ bản).

Mình đã tìm ra nguyên nhân của server overload: đó là do mình share host cho ông anh để ông ấy chạy thêm 1 web nữa. Khi mình suspend cái host đó thì load average của sever về ~1, mình unsuspend nó thì sever lại bị over load.

Mình suspend cái host đó khoảng 2 hôm, hiện tại thì unsuspend để cho website tin tức ông anh mình chạy. Bây giờ thì lại không bị over load, cao điểm load average cũng chỉ ~2. Nhưng hôm nay vào log của directadmin thì vẫn bị vào ban đêm.




Cho mình hỏi có phải website ông anh mình bị attach không? và cách phòng chống như thế nào?
Nếu đóng cửa cái web đó thì cũng hơi phí vì cả con Dedicate chỉ chạy mỗi cái website tầm trăm view/1 ngày với mấy chục cái email thì cũng hơi lãng phí tài nguyên.
[Up] [Print Copy]
  [Question]   sever bị overload 12/03/2013 23:28:43 (+0700) | #5 | 274058
[Avatar]
azteam
Member

[Minus]    0    [Plus]
Joined: 17/03/2007 21:12:46
Messages: 177
Location: /dev/null
Offline
[Profile] [PM]
Muốn xem có bị attack không thì xem logs của site đấy, xong phân tích logs xem requests như nào. Còn chỉ nhìn như này thì chưa biết được, do site chạy nhiều, do chưa tối ưu source + db hoặc cũng có thể bị attack.
[Up] [Print Copy]
[digg] [delicious] [google] [yahoo] [technorati] [reddit] [stumbleupon]
Go to: 
 Users currently in here 
1 Anonymous

Powered by JForum - Extended by HVAOnline
 hvaonline.net  |  hvaforum.net  |  hvazone.net  |  hvanews.net  |  vnhacker.org
1999 - 2013 © v2012|0504|218|