Este es mi caso: tengo una instancia ec2 con 5 hosts virtuales ejecutando apache2. A veces,aleatoriamente, la CPU supera el 80% de utilización debido a Apache. Los sitios no están tan elaborados y ni siquiera reciben tanto tráfico, pero son informativos.
Pensamos que era un ataque DoS o un ataque de diccionario (para SSH). La instancia tiene fail2ban y parámetros fuertes en sshd.conf.
¿Hay alguna forma de rastrear exactamente cuál es ese proceso en Apache? He visto que no soy el único que tiene este problema con las instancias apache y ec2.
Respuesta1
Si la CPU supera el 80% de utilización debido a Apache, entonces el problema está en Apache, no en SSH u otro servicio/aplicación.
Puede verificar apache2 access_log. Si tiene un tamaño enorme o contiene mucho tráfico, entonces sí, está bajo un ataque DoS.
Para evitarlo, puedes utilizar WAF como Cloudflare u otros servicios.
No proporciona información sobre las especificaciones del servidor o el tráfico estimado, por lo que existe la posibilidad de que el problema sea que su instancia EC2 esté en provisión (es necesario actualizar).