php5-fpm 100% CPU

0

1

Сегодня столкнулся с такой ерундой, на VPS стал забиваться cpu php5-fpm. Висит 5 процессов. В логах php5-fpm пусто. Точнее только '[22-Dec-2014 06:42:24] NOTICE: configuration file /etc/php5/fpm/php-fpm.conf test is successful'

Используется в паре с nginx. Ubuntu 14.04. Куда смотреть не пойму.

Ссылка

←	Zimbra 8.5.1

Синхронизация адресной книги из ldap на мобильники

→

VPS работает месяц, проблем не было таких. Висит пара сайтов на Drupal 7.

Sora ★★
(22.12.14 14:51:48 MSK) автор топика

Ссылка

Сюда http://www.cvedetails.com/vulnerability-list/vendor_id-1367/product_id-2387/D...

handbrake ★★★
(22.12.14 14:56:19 MSK)

Ссылка

Может slow log поможет? https://rtcamp.com/tutorials/php/fpm-slow-log/#setup-slowlog-for-php-scripts

Ну и попробуй какой-нибудь xcache или zend opchace включить. Drupal обычно очень медленный.

Black_Roland ★★★★
(22.12.14 14:56:49 MSK)

Ответ на: комментарий от Black_Roland 22.12.14 14:56:49 MSK

Спасибо, так работало спокойно месяц. Сейчас вдруг взбесилось... Посещаемость небольшая.

Sora ★★
(22.12.14 15:00:51 MSK) автор топика

Ссылка

Ответ на: комментарий от Black_Roland 22.12.14 14:56:49 MSK

Подключил slow-log, ничего не пишется...

Sora ★★
(22.12.14 16:40:25 MSK) автор топика

Ссылка

Если чисто cpu нагрузка, можно посмотреть где оно крутится:

$ gdb -p $PHP_PID
(gdb) bt
(gdb) source /path/to/php-src/.gdbinit
(gdb) dump_bt executor_globals.current_execute_data
(gdb) ____executor_globals
(gdb) dump_bt $eg.current_execute_data

ещё можно через strace цепануться, если скрипт много работает, будет видно как раз за разом делается stat/open на php файлы

ещё есть смысл посмотреть какие запросы висят в топе: https://rtcamp.com/tutorials/php/fpm-status-page/

ihanick ★
(22.12.14 16:48:40 MSK)

Ссылка

В 99% дело не в пыхе, а в том что автосканеры долбятся с подбором паролей. Посмотрите уникальные IP из лога вебсервера и что делают топовые.

Опять же, для большинства случаев хватает настроить в nginx и фаерволе лимиты на частоту запросов.

Vit ★★★★★
(22.12.14 16:48:53 MSK)

Ответ на: комментарий от Vit 22.12.14 16:48:53 MSK

Сделал так

cat /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -rn | head -n 25

37740 217.77.49.145

7769 5.255.253.214

6155 212.109.30.108

4773 178.19.251.154

4714 178.19.251.155

4621 46.28.16.249

4232 46.28.16.3

3788 178.19.251.135

3380 178.19.251.113

3188 178.19.251.45

3077 178.19.251.138

3054 178.19.251.109

2772 46.38.49.210

2771 46.28.16.247

2658 178.19.251.139

2582 178.19.251.136

2502 66.249.67.142

2499 66.249.67.158

2447 66.249.67.150

2429 178.19.251.130

2393 178.19.251.152

2340 178.154.208.240

2288 178.19.251.158

2288 178.19.251.137

2237 178.19.251.156

Первый ip это с нашей сети провайдера. Как остальных проверить на активность?

Sora ★★
(22.12.14 17:13:48 MSK) автор топика
Последнее исправление: Sora 22.12.14 17:14:30 MSK (всего исправлений: 2)

Ответ на: комментарий от Sora 22.12.14 17:13:48 MSK

Скорее всего боты пароли подбирают, поставьте капчу или автоматическое добавление в бан при превышении запросов

xorik ★★★★★
(22.12.14 17:28:03 MSK)

Ответ на: комментарий от xorik 22.12.14 17:28:03 MSK

Хороший совет, но как отследить кто ломится :)

Sora ★★
(22.12.14 17:32:28 MSK) автор топика

Ссылка

Проанализировал логи, виноват 217.77.49.145. Прибил, все ок.

Sora ★★
(22.12.14 18:03:00 MSK) автор топика

Ответ на: комментарий от Sora 22.12.14 18:03:00 MSK

на будущее - fail2ban спасает.

Komintern ★★★★★
(22.12.14 23:39:32 MSK)

Ответ на: комментарий от Sora 22.12.14 18:03:00 MSK

Я ж говорил :) . limit на nginx настройте, и будет вам счастье.

Vit ★★★★★
(22.12.14 23:48:21 MSK)

Ссылка

Ответ на: комментарий от Komintern 22.12.14 23:39:32 MSK

Спасибо, изучаю.

Sora ★★
(23.12.14 09:03:10 MSK) автор топика

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	Zimbra 8.5.1

Admin

Синхронизация адресной книги из ldap на мобильники

→

Похожие темы