Dies ist mein Fall: Ich habe eine EC2-Instanz mit 5 virtuellen Hosts, auf denen Apache2 läuft. Manchmalnach dem Zufallsprinzip, die CPU-Auslastung liegt wegen Apache bei über 80 %. Die Sites sind nicht so ausgefeilt und haben nicht einmal so viel Verkehr, sie sind informativ.
Wir dachten, es sei ein DoS-Angriff oder ein Wörterbuchangriff (für SSH). Die Instanz hat fail2ban und starke Parameter in sshd.conf.
Gibt es eine Möglichkeit, genau zu verfolgen, was dieser Prozess in Apache ist? Ich habe gesehen, dass ich nicht der Einzige bin, der dieses Problem mit Apache- und EC2-Instanzen hat
Antwort1
Wenn die CPU-Auslastung wegen Apache über 80 % steigt, liegt das Problem bei Apache und nicht bei SSH oder einem anderen Dienst/einer anderen Anwendung.
Sie können das Apache2-Access_Log überprüfen. Wenn es sehr groß ist oder viel Datenverkehr enthält, sind Sie tatsächlich einem DoS-Angriff ausgesetzt.
Um dies zu verhindern, können Sie WAF wie Cloudflare oder andere Dienste verwenden.
Sie erhalten keine Informationen zu den Serverspezifikationen oder zum geschätzten Datenverkehr. Daher besteht die Möglichkeit, dass das Problem darin besteht, dass Ihre EC2-Instanz bereitgestellt wird (aktualisiert werden muss).