|
|
|
phpBB2 by Przemo
Support forów phpBB2 modified by Przemo
|
|
|
|
[OffTopic] Skok obciążenia CPU, dziwna aktywność w logach |
| Autor |
Wiadomość |
Joy17
Posty: 402
|
 Wysłany: 25-11-2010, 02:27 [OffTopic] Skok obciążenia CPU, dziwna aktywność w logach
|
|
|
Witam
Opiszę Wam pewną nietypową sytuację
Ze statystyk odwiedzin google analytics, przy 4 tys odsłon strony dziennie, generowane obciążenie CPU w moim panelu hostingowym wahało się zawsze w przedziale 4 - 4,5%, nie więcej. Od mniej więcej dwóch tygodni zaobserwowałem nietypowy wzrost obciążenia, które przy podobnym ruchu dochodziło do 7%. Zacząłem uważniej przyglądać się wszystkim dostępnym logom.
Na początku zauważyłem jedną rzecz jeżeli chodzi o ilość odpalonych dziennie skryptów PHP. Zazwyczaj najczęściej uruchamianym plikiem był viewtopic.php, natomiast index.php był odpalany 2 do 3 razy rzadziej (przykładowo viewtopic.php: 4500, index.php: 2100). Od momentu, kiedy obciążenie CPU wyraźnie wzrosło, proporcje te niemal się odwróciły, to index.php był częściej odpalanym plikiem. Wydało mi się to dość podejrzaną i nienaturalną sprawą.
Zauważyłem w Indeksie Administracji, że jedno IP odwołuje się wiele razy w tym samym czasie do strony głównej, i tak każdego dnia, niezależnie od pory. Postanowiłem przejrzeć logi dostępu z serwera, ściągnąłem plik z ostatniej doby, i w wyszukiwarce wpisałem IP z panela administracyjnego. To co ukazało się moim oczom, wywołało u mnie wielkie zdziwienie i okazało się przyczyną wzrostu obciążenia. Przez całą dobę, w regularnych odstępach czasu, robot z tego IP odwoływał się do strony głównej prawie 4 tys razy. W kolejnych dniach dokładnie taka sama sytuacja. Naturalnie ruch ten był niezauważalny w analytics
Maluśki wycinek z loga:
| Kod: | Line 74218: 194.24.174.139 - - [24/Nov/2010:21:18:09 +0100] "GET / HTTP/1.1" 200 135369 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 (.NET CLR 3.5.30729)"
Line 74253: 194.24.174.139 - - [24/Nov/2010:21:18:25 +0100] "GET / HTTP/1.1" 200 135369 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
Line 74324: 194.24.174.139 - - [24/Nov/2010:21:18:28 +0100] "GET / HTTP/1.1" 200 135432 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
Line 74349: 194.24.174.139 - - [24/Nov/2010:21:18:34 +0100] "GET / HTTP/1.1" 200 135369 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
Line 74357: 194.24.174.139 - - [24/Nov/2010:21:18:39 +0100] "GET / HTTP/1.1" 200 135369 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
Line 74369: 194.24.174.139 - - [24/Nov/2010:21:18:54 +0100] "GET / HTTP/1.1" 200 135432 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 (.NET CLR 3.5.30729)"
Line 74423: 194.24.174.139 - - [24/Nov/2010:21:19:27 +0100] "GET / HTTP/1.1" 200 135366 "-" "Opera/9.80 (Android; Opera Mini/5.0.18302/21.572; U; en) Presto/2.5.25 Version/10.54"
Line 74505: 194.24.174.139 - - [24/Nov/2010:21:19:30 +0100] "GET / HTTP/1.1" 200 135429 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
Line 74588: 194.24.174.139 - - [24/Nov/2010:21:19:46 +0100] "GET / HTTP/1.1" 200 135429 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
Line 74609: 194.24.174.139 - - [24/Nov/2010:21:19:51 +0100] "GET / HTTP/1.1" 200 135366 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 (.NET CLR 3.5.30729)"
Line 74618: 194.24.174.139 - - [24/Nov/2010:21:20:04 +0100] "GET / HTTP/1.1" 200 135366 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
Line 74627: 194.24.174.139 - - [24/Nov/2010:21:20:15 +0100] "GET / HTTP/1.1" 200 135366 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
Line 74720: 194.24.174.139 - - [24/Nov/2010:21:20:21 +0100] "GET / HTTP/1.1" 200 135429 "-" "Opera/9.80 (Android; Opera Mini/5.0.18302/21.572; U; en) Presto/2.5.25 Version/10.54"
Line 74757: 194.24.174.139 - - [24/Nov/2010:21:20:32 +0100] "GET / HTTP/1.1" 200 135429 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 (.NET CLR 3.5.30729)"
Line 74779: 194.24.174.139 - - [24/Nov/2010:21:20:36 +0100] "GET / HTTP/1.1" 200 135366 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 (.NET CLR 3.5.30729)"
Line 74781: 194.24.174.139 - - [24/Nov/2010:21:20:36 +0100] "GET / HTTP/1.1" 200 135429 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
Line 74834: 194.24.174.139 - - [24/Nov/2010:21:20:38 +0100] "GET / HTTP/1.1" 200 135366 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
Line 74889: 194.24.174.139 - - [24/Nov/2010:21:20:42 +0100] "GET / HTTP/1.1" 200 135429 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
Line 74912: 194.24.174.139 - - [24/Nov/2010:21:20:44 +0100] "GET / HTTP/1.1" 200 135366 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
Line 74928: 194.24.174.139 - - [24/Nov/2010:21:20:48 +0100] "GET / HTTP/1.1" 200 135429 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12 (.NET CLR 3.5.30729)"
Line 74980: 194.24.174.139 - - [24/Nov/2010:21:21:03 +0100] "GET / HTTP/1.1" 200 135366 "-" "Opera/9.80 (Windows NT 5.1; U; Edition Campaign 21; pl) Presto/2.6.30 Version/10.60"
Line 74994: 194.24.174.139 - - [24/Nov/2010:21:21:13 +0100] "GET / HTTP/1.1" 200 135266 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
Line 75004: 194.24.174.139 - - [24/Nov/2010:21:21:23 +0100] "GET / HTTP/1.1" 200 135266 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12"
Line 75013: 194.24.174.139 - - [24/Nov/2010:21:21:30 +0100] "GET / HTTP/1.1" 200 135266 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; pl; rv:1.9.2.12) Gecko/20101026 Firefox/3.6.12" |
Widzimy tutaj w ciągu jednej minuty 10 odwołań.
Naturalnie, pierwszą czynnością było zablokowanie IP w .htaccess, następnie zacząłem poszukiwać lokalizacji i ew. domeny. Okazało się, że numer ten podchodzi pod adres www.epidemia.org.pl, a więc polskiej firmy z Łodzi, zajmującej się projektowaniem stron oraz usługami hostingowymi (zgodnie z opisem).
Piszę ten temat, aby po pierwsze pokazać, że czasami warto pobawić się w detektywa, jeżeli zaczyna się dziać cokolwiek niedobrego na stronie.
Kolejna kwestia to nurtujące mnie pytanie, w jakim celu robot ten mógł przejawiać taką negatywną aktywność. Czyżbym za jakiś czas miał dostać od ww firmy jakąś super ofertę na hosting albo optymalizację strony? To oczywiście tylko przypuszczenie, ciekawy jestem czy ktoś z Was spotkał się kiedyś z podobnym działaniem. Może powinienem w jakiś sposób zainterweniować w tej firmie, postraszyć |
_________________
Nie pisz do mnie PW - jeśli potrzebujesz pomocy, chętnie pomogę, ale na forum. |
|
 |
|
 |
Gadatliwa Kasia 
|
|
|
|
|
|
|
Nie możesz pisać nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz głosować w ankietach
Nie możesz załączać plików na tym forum
Możesz ściągać załączniki na tym forum
|
Dodaj temat do Ulubionych
Wersja do druku
|
Kopiowanie wszelkich treści zawartych na forum, modyfikacji oraz instrukcji bez zgody administracji i autorów tematów/postów zabronione!
Powered by phpBB modified by Przemo © 2003 phpBB
| | Strona wygenerowana w 0,1 sekundy. Zapytań do SQL: 13 |
|
 |
|
FAQ - PIERWSZA POMOC!!
REGULAMIN
SZUKAJ
Użytkownicy
Grupy
Statystyki
Rejestracja
Zaloguj
Download
Katalog Forów
