Sobrecarga servidor apache

9124 visitas 23 respuestas

Hola,

estoy teniendo problemas en el servidor dedicado apache,

Añado imagen del apache status,

Lo normal en el servidor son "50 - 150 requests currently being processed", pero ahora algo falla y llega al limite de 450, exactamente que quiere decir la C? que no se cierra la conexión? Con esa imagen me pueden decir algo?

Saludos y gracias

[img]http://img94.imageshack.us/img94/7290/apachestatus.jpg[/img]

por desde España

Registrado desde: 10 Nov 10

Respuestas

0 0

Hola,

claro que aparece más información, pero por no estar tapando datos mostré solo esa.

Ahora mismo esta perfecto(y con buena cantidad de visitas! Yo sigo pensando que algo esta pasando, posibles ataques también... el servidor es administrado y solo me dicen que necesito más servidor...(es muy fácil decir eso), pero yo me que quedado hasta las 07:00 despiesto viendo como casio no tenia visitas y de repente se quedaba bloqueado.... por lo que no tiene sentido!! Pero no me escuchan...

Total accesses: 268316 - Total Traffic: 618.7 MB CPU Usage: u125.26 s12.15 cu0 cs0 - 1.31% CPU load 25.6 requests/sec - 60.4 kB/second - 2418 B/request 41 requests currently being processed, 24 idle workers

KK_CWKWWKKWWWC_WW_W.WW_CWWW_KC_W_KWWCWWKK.WK.W...W _WCK........................................C................. ................................................................ ................................................................ ................................................................ ................................................................ ................................................................ ..

Así esta ahora, per fecto!

Si necesitan alguna información más por favor pidanmela, yo no se de administrador de servidores, pero para daros alguna información si.

Saludos y gracias

por desde España

Registrado desde: 10 Nov 10
0 0

Hola sinp, ¿no aparece más información que esa que has puesto en la imagen?

Lo cierto es que apenas sabía del módulo mod_status de Apache, pero parece bastante útil. Por lo que he leido, esa C corresponde al estado "Closing connection", otra cosa es si la operación se lleva a cabo correctamente o no. ¿Has pensado en la posibilidad de que te estén atacando el servidor? Revisa los logs de acceso por si ves algo extraño.

Échale un vistazo a esta imagen: http://1.bp.blogspot.com/_zSAIBA75fqo/TBvgG3h8PgI/AAAAAAAABFE/v7u5cRac6Mk/s1600/mod_status.png

Trata de obtener la información que viene justo debajo del código de estado, ya que lista todos los hilos creados por Apache, mostrando la petición que está haciendo al servidor, y de ahí igual puedes obtener datos útiles.

Mantennos informados que tengo curiosidad :)

por desde España

Registrado desde: 02 Jul 02
0 0

Estos errores de apache que son?Hya muchos, y veo que más o menos sucenden cada hora, como la sobrecarga del servidor, reinicio apache y en 1 hora aprox vuelve a pasar.

[Wed Dec 08 12:07:47 2010] [warn] RSA server certificate CommonName (CN) `localhost' does NOT match server name!? [Wed Dec 08 12:07:47 2010] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) [Wed Dec 08 12:07:48 2010] [warn] RSA server certificate CommonName (CN) `localhost' does NOT match server name!? [Wed Dec 08 12:07:48 2010] [warn] pid file /var/run/httpd.pid overwritten -- Unclean shutdown of previous Apache run? [Wed Dec 08 12:07:48 2010] [notice] Apache/2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/0.9.8e-fips-rhel5 DAV/2 PHP/5.2.13 configured -- resuming normal operations [Wed Dec 08 12:17:09 2010] [notice] caught SIGTERM, shutting down [Wed Dec 08 12:17:10 2010] [warn] RSA server certificate CommonName (CN) `localhost' does NOT match server name!? [Wed Dec 08 12:17:10 2010] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) [Wed Dec 08 12:17:11 2010] [warn] RSA server certificate CommonName (CN) `localhost' does NOT match server name!? [Wed Dec 08 12:17:11 2010] [notice] Apache/2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/0.9.8e-fips-rhel5 DAV/2 PHP/5.2.13 configured -- resuming normal operations [Wed Dec 08 12:17:14 2010] [notice] caught SIGTERM, shutting down [Wed Dec 08 12:17:15 2010] [warn] RSA server certificate CommonName (CN) `localhost' does NOT match server name!? [Wed Dec 08 12:17:15 2010] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) [Wed Dec 08 12:17:16 2010] [warn] RSA server certificate CommonName (CN) `localhost' does NOT match server name!? [Wed Dec 08 12:17:16 2010] [notice] Apache/2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/0.9.8e-fips-rhel5 DAV/2 PHP/5.2.13 configured -- resuming normal operations

[Wed Dec 08 15:27:12 2010] [warn] RSA server certificate CommonName (CN) `localhost' does NOT match server name!? [Wed Dec 08 15:27:12 2010] [notice] suEXEC mechanism enabled (wrapper: /usr/sbin/suexec) [Wed Dec 08 15:27:13 2010] [warn] RSA server certificate CommonName (CN) `localhost' does NOT match server name!? [Wed Dec 08 15:27:13 2010] [warn] pid file /var/run/httpd.pid overwritten -- Unclean shutdown of previous Apache run? [Wed Dec 08 15:27:13 2010] [notice] Apache/2.2.15 (Unix) mod_ssl/2.2.15 OpenSSL/0.9.8e-fips-rhel5 DAV/2 PHP/5.2.13 configured -- resuming normal operations [Wed Dec 08 15:40:05 2010] [error] server reached MaxClients setting, consider raising the MaxClients setting

por desde España

Registrado desde: 10 Nov 10
0 0

En ese log que envías, tienes algunos warning relacionados con temas de certificados digitales, que no creo que influya en el problema que comentas, pero que igual deberías revisar.

Luego, tienes las líneas: [notice] caught SIGTERM, shutting down Que se supone que aparecen cuando obligas al servidor a reiniciarse.

Aparte de eso, tienes: [Wed Dec 08 15:40:05 2010] [error] server reached MaxClients setting, consider raising the MaxClients setting

Que informa de que se ha sobrepasado el número de clientes definido en la configuración de Apache.

Podrías consultar los valores que tienes en la configuración de Apache (httpd.conf) en los siguientes parámetros. Puede que sea necesario modificar esos parámetros.

KeepAlive MaxKeepAliveRequests KeepAliveTimeout

por desde España

Registrado desde: 02 Jul 02
0 0

ok gracias,

esos parámetros no los veo en httpd.conf

#

This is the main Apache HTTP server configuration file. It contains the configuration directives that give the server its instructions. See for detailed information. In particular, see for a discussion of each configuration directive.

#

Do NOT simply read the instructions in here without understanding what they do. They're here only as hints or reminders. If you are unsure consult the online docs. You have been warned.

ServerRoot "/etc/httpd" Listen 80

LoadModule dummy_module /usr/lib/apache/mod_dummy.so LoadModule php5_module /usr/lib/apache/libphp5.so

Include /etc/httpd/conf/extra/httpd-phpmodules.conf

User apache Group apache

ServerAdmin admin@localhost DocumentRoot "/var/www/html"

AllowOverride All Options -MultiViews -Indexes FollowSymlinks IncludesNoExec +Includes Order allow,deny Allow from all Order deny,allow Deny from all
Options All
AllowOverride All

Options -Indexes FollowSymLinks AllowOverride All Order allow,deny Allow from all suPHP_Engine On suPHP_UserGroup webapps webapps SetEnv PHP_INI_SCAN_DIR DirectoryIndex index.html index.htm index.shtml index.php index.php5 index.php4 index.php3 index.phtml index.cgi Order allow,deny Deny from all Satisfy All

ErrorLog /var/log/httpd/error_log LogLevel warn

#replace %b with %O for more accurate logging LogFormat "%h %l %u %t "%r" %>s %O "%{Referer}i" "%{User-Agent}i"" combined LogFormat "%h %l %u %t "%r" %>s %O" common LogFormat "%O" bytes LogFormat "%h %l %u %t "%r" %>s %b "%{Referer}i" "%{User-Agent}i" %I %O" combinedio
CustomLog /var/log/httpd/access_log common

# Include some DirectAdmin alias Include conf/extra/httpd-alias.conf AllowOverride None Options None Order allow,deny Allow from all

DefaultType text/plain

TypesConfig conf/mime.types AddType application/x-gzip .tgz AddEncoding x-compress .Z AddEncoding x-gzip .gz .tgz AddType application/x-compress .Z AddType application/x-gzip .gz .tgz AddHandler cgi-script .cgi AddHandler type-map var AddType text/html .shtml AddOutputFilter INCLUDES .shtml AddType video/x-ms-asf .avi AddType video/mpeg .mpg AddType video/mpeg .mpeg AddType video/quicktime .mov AddType video/x-ms-wmv .wmv EnableMMAP off EnableSendfile off Do not change anything in included files, because they are rewritten by DirectAdmin This is needed for PHP

Include conf/extra/httpd-php-handlers.conf

Server-pool management (MPM specific)

Include conf/extra/httpd-mpm.conf

Multi-language error messages

Include conf/extra/httpd-multilang-errordoc.conf

Fancy directory listings

Include conf/extra/httpd-autoindex.conf

Language settings

Include conf/extra/httpd-languages.conf

User home directories Include conf/extra/httpd-userdir.conf Real-time info on requests and configuration

Include conf/extra/httpd-info.conf

Virtual hosts

Include conf/extra/httpd-vhosts.conf

Local access to the Apache HTTP Server Manual Include conf/extra/httpd-manual.conf Distributed authoring and versioning (WebDAV)

Include conf/extra/httpd-dav.conf

Various default settings

Include conf/extra/httpd-default.conf

Secure (SSL/TLS) connections

Include conf/extra/httpd-ssl.conf

Deflate module settings

Include conf/extra/httpd-deflate.conf

All the DirectAdmin vhosts

Include conf/extra/directadmin-vhosts.conf

All suPHP directives

Include conf/extra/httpd-suphp.conf

For user configurations not maintained by DirectAdmin. Empty by default.

Include conf/extra/httpd-includes.conf

End of included files that are rewritten by DirectAdmin SSLRandomSeed startup builtin SSLRandomSeed connect builtin

ExtendedStatus On

SetHandler server-status

por desde España

Registrado desde: 10 Nov 10
0 0

Busca en conf/extra/httpd-default.conf

por desde España

Registrado desde: 02 Jul 02
0 0

Es que al ser administrado no tengo acceso root, y solo puedo ver y modificar los archivos con acceso desde directadmin...

Gracias

por desde España

Registrado desde: 10 Nov 10
0 0

Vaya, pensé que tenías acceso completo al servidor. A unas malas podrías ponerte en contacto con el proveedor de alojamiento y contarle lo que te pasa, a ver si te pueden ayudar.

De todos modos, antes terminaría de descartar que no haya sido producido por algo "normal" y que realmente en ese periodo de tiempo tuvieras un pico de visitas. Igual tu web ha sido enlazada desde algún sitio externo con un gran volumen de visitas (p.ej. Meneame), y ha provocado que alcances esa cifra.

Actualizo: He visto que en el archivo conf/extra/httpd-mpm.conf existe una variable maxClients, puesta por defecto a 150.

StartServers 5 MinSpareServers 5 MaxSpareServers 10 ** MaxClients 150** MaxRequestsPerChild 0

Al igual los propios administradores, viendo que esta cifra se quedaba corta, aumentaron el número de clientes a 400, y de ahí el cambio en lo que has visto.

por desde España

Registrado desde: 02 Jul 02
0 0

He contactado desde ayer, pero dicen que necesito un servidor mayor, pero no me dicen de donde exactamente viene el problema...

Ayer me paso durante el día, y si que tengo aumento de visitas por "navidad", pero a las 06:00 casi no hay visitas... y ocurría igual...

Cada hora aproximadamente después de reinciar apache vuelve a producirse, desde apache status voy viendo como aumenta el uso de la cpu pasando de 5% hasta 70% (aprox) y de 60 requests currently being processed poco a poco hasta el limite de MaxClients 450, ese cambio se lo mande poner yo hace meses. Todo esto dando igual las visitas y usuarios online.

He tomado medidas antihotlink etc y nada.

ahora mismo de nuevo

Total accesses: 39440 - Total Traffic: 81.7 MB CPU Usage: u598.2 s58.66 cu0 cs0 - 60.3% CPU load 36.2 requests/sec - 76.8 kB/second - 2172 B/request 450 requests currently being processed, 0 idle workers

CCWCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCKCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCWCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCKCC CCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCWCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCWCCCCCCCCCWCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCCC CCCCCCCCCCCCCCCCCCCCWCCCCWCCCCWCCCCCCCCCCCKCCCCCCCCWCCCCCCCCCCCC CCCCWCCCWCCCCCWWCCCCCKCCCCCCCCCCCCCCCCCCCCCCCCCCWCCCCCCCCCCCCKWW CCCCCCCCCCCCCCCCCWCWCCWWCCCCCCKCCCCCCCCCCCCCCCCCCCCCCCCCWWCCCKCC CW

Scoreboard Key: "_" Waiting for Connection, "S" Starting up, "R" Reading Request, "W" Sending Reply, "K" Keepalive (read), "D" DNS Lookup, "C" Closing connection, "L" Logging, "G" Gracefully finishing, "I" Idle cleanup of worker, "." Open slot with no current process

Me parece que hay que saber porque hay tanta conexión que no se cierra?

por desde España

Registrado desde: 10 Nov 10
0 0

Pues ya solo se me ocurre que te descargues el log de accesos de Apache, y compruebes los accesos al servidor a esas horas, y ver si esas visitas son "legítimas", es decir, que proviene de usuarios reales que navegan por tu sitio. En caso contrario probablamente se tratará de bots, o algún ataque DDoS de denegación de servicios a tu servidor.

por desde España

Registrado desde: 02 Jul 02
0 0

Desde directadmin accedo al archivo /var/log/httpd/access_log

pero no tiene lo que busco... salen los accesos 127.0.0.1

por desde España

Registrado desde: 10 Nov 10
0 0

Que raro... ¿no puedes acceder por ssh al servidor?

por desde España

Registrado desde: 02 Jul 02
0 0

si puedo pero no como root ya accedí a los logs del dominio, están descargando, después te cuento.

Gracias

por desde España

Registrado desde: 10 Nov 10
0 0

Lo primero que veo el log de errores es que siempre busca favicon.ico y como no lo tengo pues ya da error y pasa con cada visita, porque lo "busca" al acceder? alguna forma de "deshabilitarlo"?

en el de accesos no veo nada raro...

por desde España

Registrado desde: 10 Nov 10
0 0

Pero la petición del favicon.ico no debería darte problemas. Te comentaba lo del log por mirar los accesos, ips de los usuarios que acceden, y ver si hay algo raro ahí.

por desde España

Registrado desde: 02 Jul 02
0 0

ya ya, y he mirado los accesos, pero a simple vista nada raro, y como sabes son muchos mb y no es que se pueda mirar muy bien... seguiré revisánsdolo.

por desde España

Registrado desde: 10 Nov 10
0 0

puede que tenga algo: XXXXXXXXXX - - [07/Dec/2010:19:04:35 +0100] "GET /_vti_bin/owssvr.dll?UL=1&ACT=4&BUILD=6415&STRMVER=4&CAPREQ=0 HTTP/1.1" 404 790 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)"

XXXXXXXXXX- - [07/Dec/2010:19:04:36 +0100] "GET /MSOffice/cltreq.asp?UL=1&ACT=4&BUILD=6415&STRMVER=4&CAPREQ=0 HTTP/1.1" 404 790 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; InfoPath.2; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)"

lo que veo es que antes de que comenzará lo que muestro, ya se colgó el servidor.

ya he bloqueado la ip, hay muchos registros parecidos a varias horas, pero no todas, esto no es el problema que busco, pero si un ataque pequeño.

*pd: revisando he localizado ataques a todas horas desde 5 ips diferentes como lo anterior, y si que comenzó antes de que yo notara la caída del servidor, lo que no veo que sean tantos registros como para ralentizar tanto el servidor.

Saludos

por desde España

Registrado desde: 10 Nov 10
0 0

Resuelto a medias,

el atacante tenia de 50 -200 conexiones,

lo que pasa es que es google, ahora tengo que mirar si es un bot y tengo luego problemas de rastreo e indexación etc... si alguien sabe del tema gracias.

por desde España

Registrado desde: 10 Nov 10
0 0

¿Pertenecen todas a Google? Normalmente los accesos que realiza Google son a través de GoogleBot para rastrear tu web y actualizarla en su buscador, pero no sé, tantas conexiones simultáneas lo veo un tanto raro.

Prueba a registrarte en Google Webmaster Tools. [url]http://www.google.com/webmasters/tools/[url]. Aquí puedes obtener información sobre la frecuencia de rastreo que hace Google en tu web, y otros datos. Puede que te sirva para ir descartando posibilidades.

Saludos

por desde España

Registrado desde: 02 Jul 02
0 0

Hola sinp.

Has conseguido averiguar dónde está el problema?...

Es que a mí me está pasando identicamente lo mismo, salvo que en mi caso el servidor se colapsa aleatoriamente. Hay días que no y hay días que tres o cuatro veces.

Por casulidad, no tendrás contratado el servidor con Cyberneticos.com ???....

A mi también me dicen que tengo que ampliar el servidor, mientras observo que en condiciones normales, cuando no ocurre esto, el servidor va más que sobrado.

por desde España

Registrado desde: 07 Feb 11
0 0

Ni recuerdo la solución, pero ahora estoy igual a horas sin visitsa, pero si cyberneticos.com talle!

por desde España

Registrado desde: 10 Nov 10
0 0

Algo no cuadra viendo los dos gráficos no? :)

Me comentan que son los bots de google, pero lo dudo, creo que hay fallo en el servidor, mala configuración o algo...

[img]http://img199.imageshack.us/img199/9103/graficosapache.png[/img]

por desde España

Registrado desde: 10 Nov 10
1 0

Efectivamente son los bots, pero no lo los de Google o Yahoo, son crawlers de otros buscadores o de gentes que quizás se dedican a rastrear y buscar direcciones de email u otros datos. Lo que hacían estos bots es que dejaban las conexiones sin cerrar, en CLOSE_WAIT, y poco a poco iban saturando el servidor. De todos modos, el problema debía ser de configuración, pues en cierta ocasión bloqueé una IP que estaba dando la lata y a pesar de que desaparecieron todas sus conexiones, los procesos internos seguían aumentando y quedándose en CLOSE_WAIT.

Después de varios meses de sufrimiento, vigilando el servidor casi las 24h del día para reiniciar el Apache cada vez que se saturaba, al final me lo han resuleto actualizando el Apache y otro software del servidor, aplicando cambios en la configuración.

por desde España

Registrado desde: 07 Feb 11