Meget højt cpu load på user

From: Jette Nielsen (none@bsd-dk--nerdgirl.dk.lh.bsd-dk.dk)
Date: Tue 07 Dec 2004 - 23:45:39 CET 

From: "Jette Nielsen" <none@bsd-dk--nerdgirl.dk.lh.bsd-dk.dk>
To: <none@bsd-novice--bsd-dk.dk.lh.bsd-dk.dk>
Subject: Meget højt cpu load på user
Date: Tue, 7 Dec 2004 23:45:39 +0100

Jeg har de sidste par måneder haft et problem med at CPU load mindst én gang
i døgnet ryger gennem loftet.
Her er et eksempel på hvordan top ser ud når det sker:

------------------------------------------------------
last pid: 91934; load averages: 4.00, 4.00, 3.99 up 26+07:40:21
21:27:58
62 processes: 6 running, 56 sleeping
CPU states: 99.6% user, 0.0% nice, 0.4% system, 0.0% interrupt, 0.0%
idle
Mem: 146M Active, 259M Inact, 71M Wired, 19M Cache, 60M Buf, 4148K Free
Swap: 512M Total, 512M Free

  PID USERNAME PRI NICE SIZE RES STATE TIME WCPU CPU COMMAND
91038 www 62 0 16336K 8888K RUN 30:12 24.12% 24.12% httpd
76224 www 62 0 16596K 9068K RUN 303:01 24.02% 24.02% httpd
83639 www 62 0 16440K 9056K RUN 168:40 23.88% 23.88% httpd
78634 www 63 0 18020K 10552K RUN 540:46 23.83% 23.83% httpd
------------------------------------------------------

Det er httpd der er synderen - jeg har udeladt at medtage resten af top's
output, da de alle står til 0%.

En genstart af Apache løser naturligvis problemet... lige indtil næste gang
;-)

Jeg er blevet opmærksom på noget underligt i access-log'en. Den indeholder
nogle entries som denne... nedenstående er kun en brøkdel af en entry ...
den er meeeget længere end vist her:

-----------------------------------------
19495 62.61.197.214 - - [14/Nov/2004:13:32:49 +0100] "SEARCH
/\x90\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x02\xb1\x
... osv. osv. osv. i en uendelighed.....
-----------------------------------------

Jeg har set på nettet, at nogle løser det ved at putte dette i deres
httpd.conf

<IfModule mod_rewrite.c>
RedirectMatch permanent (.*)cmd.exe(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)root.exe(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)\/_vti_bin\/(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)\/scripts\/\.\.(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)\/_mem_bin\/(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)\/msadc\/(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)\/MSADC\/(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)\/c\/winnt\/(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)\/d\/winnt\/(.*)$ http://www.microsoft.com
RedirectMatch permanent (.*)\/x90\/(.*)$ http://www.microsoft.com
</IfModule>

Er det måden at undgå det på? .. og kan det være disse forespørgsler der
sender cpu load så højt op? .. og hvis nej.. hvordan finder jeg så ud af hvad det er... findes der et værktøj der kan kæde cpu load sammen med de scripts der afvikles?

Jeg har Freebsd v4.10 og apache+mod_ssl-1.3.33+2.8.22 ...

/Jette

This archive was generated by hypermail 2b30 : Wed 15 Nov 2006 - 18:25:10 CET