[SOLUCIONADO] Sobrecarga de servidor por "/usr/bin/host"

Buenas tardes amigos,

Llevo mucho tiempo visitando el foro pero nunca había necesitado realizar una consulta ya que la base de conocimientos que tenéis es tan extensa que siempre encontraba la solución a mis problemas sin tener que preguntar nada.

El caso es que desde el sábado por la noche estoy teniendo un fallo en mi servidor y he buscado por internet y no parece que a nadie el haya pasado algo parecido (¡increíble!).

El tema es que aleatoriamente (o al menos parece que no sigue ningún patrón horario) hay un proceso en el servidor que se queda pillado y consume el 100% del procesador dejando las webs alojadas casi inaccesibles, y el acceso por ssh con paciencia. El proceso lo identifico con htop como "User: apache Command: /usr/bin/host". Pero no sé cual es ese proceso, ya que las peticiones "normales" a la web se realizan por "User: apache Command: /usr/sbin/httpd". Y además se sobrecarga a horas que no debería puesto que no hay un tráfico a esas horas, las webs tienen las mismas visitas que semanas atrás (sobre 30.000 al día), ni hay actualizaciones en las webs como para que ocurra eso...

Os paso unas imágenes donde se aprecian algunas gráficas del sistema.

En una el consumo excesivo de procesador por parte del sistema que "ahoga" al proceso del usuario (apache y demás servicios de la web).




En esta se puede ver que apache no varía su consumo a esas hora por lo que no estamos hablando de una sobre carga de la web por exceso de visitas.




Y la que más desconcertado me deja. Entre un pico y el otro de procesador, se dispara el I/O de paquetes de una manera desproporcionada ya que en los días de más consumo rara vez había pasado de los 3.0k.




¿Qué puede estar pasando? No he realizado ningún tipo de cambio ene l servidor como para que esto ocurra.

Muchas gracias.

PD: Tengo un servidor cloud con dos nucleos y 2GB de RAM. CentOs 6.4 y Plesk 11.5.

Has buscado en el log de errores de apache a ver si hay que concuerde con los picos?

He mirado los logs de conexiones y de errores. Los de conexiones no he visto nada raro. Pero en los de errores hay una cosa que no entiendo. me salen estos tres errores:

[Wed Jan 15 11:09:27 2014] [error] [client xxxx:xxxx:xxxx:xxxx::xx:xxxx] script '/var/www/vhosts/default/htdocs/wp-cron.php' not found or unable to stat

[Wed Jan 15 11:07:46 2014] [error] [client 127.0.0.1] File does not exist: /var/www/html/wordpress

y

[Wed Jan 15 23:19:54 2014] [error] [client 157.55.33.19] File does not exist: /var/www/vhosts/default/htdocs/robots.txt

Mi web está en /var/www/vhosts/midominio/wp-docs/ como puede ser que busque en "var/www/vhosts/default/htdocs/", normal que no lo encuentre... ¿Cómo podría arreglar eso? El servidor salvo por estos cuelgues funciona bien lo que significa que las rutas de acceso a las webs las detecta bien.

Y encima el error es continuo, pero os hablo del orden de que el documento de log tiene como 200.000 lineas solo con esos tres errores y algún otro error muy esporádico. Y EN SOLO TRES DÍAS. :(

Por un lado temo que pueda ser estos errores continuos los que sobrecarguen el servidor, pero por otro lado, estos errores son continuos 24 horas y sin embargo la sobre carga aparece esporádicamente ya horas que no debería tener tráfico.

Gracias!

Realmente, si supiera que hace este proceso y, si no es indispensable, hay alguna forma de evitar que se ejecute me sobraría. Porque cuando mato el proceso se pasa horas sin ejecutarse y el servidor sigue funcionando perfectamente.

O saber que es lo que activa el proceso y lo pone a tope.



He estado viendo que el comando host se encarga de devolver el nombre del servidor. He hecho una llamada a netstat y esto es lo que me he encontrado, cientos y cientos de lineas con la misma petición, y a estas horas no tengo visitas como para eso.



Además solo aparecen esas peticiones cuando en el htop me sale el host comiendo procesador. Si mato el proceso y al instante hago un netstat salen datos normales. Empiezo a pensar que pueden estar atacándome el servidor...

Gracias.

puedes usar herramientas como strace lsoft para saber con exactitud que hace el proceso.

Todo servidor conectado a Internet recibirá diariamente algún tipo de ataque, por lo que algún tipo de firewall, IDS, WAF son indispensables en cualquier servidor público

Tengo instalado el fail2ban, puesto el firewall, ¿no se puede simplemente apagar el hostname? Me refiero igual que se puede inhabilitar el ping o el ssh. No hay una forma de que no se pueda usar ese servicio...

Con service host stop me dice que no existe ese servicio es una desesperación, llevo todo el día con el servidor out cerrando el proceso a mano cada vez que se activa.

Gracias por los consejos, parece que es eso un ataque que me está mareando toda la semana.

De momento he reforzado todos los puntos débiles del server y he afinado el fail2ban de forma que sigo recibiendo los ataques (obvio, no puedo evitar que me ataquen) pero no están afectando a la CPU.