Plantage Apache 01/02/2022

Salut tout le monde,
avant hier j’ai eu un plantage Apache sur mon VPS qui héberge une dizaine de sites Wordpress, une instance Nextcloud et une instance Galette. Fouillant dans les logs, je trouve ça.
J’ai redémarré Apache manuellement vers midi et tout est rentré dans l’ordre.
Ça ressemble à une belle crise de nerfs, qu’en pensez vous ? merci et belle journée.

apache2: Memory allocation failed `No such file or directory' @ fatal/tiff.c/RegisterTIFFImage/2317.
[Tue Feb 01 09:12:13.905700 2022] [php7:error] [pid 22751] [client 5.157.59.66:39030] script '/var/www/ades/mini.php' not found or unable to stat, referer: https://asso-ades.fr
/mini.php
[Tue Feb 01 10:34:52.679861 2022] [core:error] [pid 25139] [client 45.146.165.37:50326] AH00126: Invalid URI in request POST /cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh HTTP/1.1
[Tue Feb 01 10:51:52.229513 2022] [mpm_prefork:notice] [pid 487] AH00171: Graceful restart requested, doing restart

libgomp: could not create thread pool destructor.
[Tue Feb 01 10:51:59.242057 2022] [core:warn] [pid 25788] AH00098: pid file /var/run/apache2/apache2.pid overwritten -- Unclean shutdown of previous Apache run?
[Tue Feb 01 10:51:59.248458 2022] [mpm_prefork:notice] [pid 25788] AH00163: Apache/2.4.38 (Debian) mod_fcgid/2.3.9 OpenSSL/1.1.1d configured -- resuming normal operations
[Tue Feb 01 10:51:59.248511 2022] [core:notice] [pid 25788] AH00094: Command line: '/usr/sbin/apache2'
[Tue Feb 01 10:52:02.648396 2022] [mpm_prefork:notice] [pid 25788] AH00171: Graceful restart requested, doing restart
[Tue Feb 01 10:52:04.823257 2022] [mpm_prefork:notice] [pid 25788] AH00163: Apache/2.4.38 (Debian) mod_fcgid/2.3.9 OpenSSL/1.1.1d configured -- resuming normal operations
[Tue Feb 01 10:52:04.823297 2022] [core:notice] [pid 25788] AH00094: Command line: '/usr/sbin/apache2'
[Tue Feb 01 10:52:09.313391 2022] [mpm_prefork:notice] [pid 25788] AH00171: Graceful restart requested, doing restart
[Tue Feb 01 10:52:09.682268 2022] [mpm_prefork:notice] [pid 25788] AH00163: Apache/2.4.38 (Debian) mod_fcgid/2.3.9 OpenSSL/1.1.1d configured -- resuming normal operations
[Tue Feb 01 10:52:09.682300 2022] [core:notice] [pid 25788] AH00094: Command line: '/usr/sbin/apache2'
[Tue Feb 01 10:52:12.235853 2022] [mpm_prefork:notice] [pid 25788] AH00171: Graceful restart requested, doing restart
[Tue Feb 01 10:52:12.452189 2022] [mpm_prefork:notice] [pid 25788] AH00163: Apache/2.4.38 (Debian) mod_fcgid/2.3.9 OpenSSL/1.1.1d configured -- resuming normal operations
[Tue Feb 01 10:52:12.452228 2022] [core:notice] [pid 25788] AH00094: Command line: '/usr/sbin/apache2'
[Tue Feb 01 10:52:18.897304 2022] [mpm_prefork:notice] [pid 25788] AH00171: Graceful restart requested, doing restart
[Tue Feb 01 10:52:22.192659 2022] [mpm_prefork:notice] [pid 25788] AH00163: Apache/2.4.38 (Debian) mod_fcgid/2.3.9 OpenSSL/1.1.1d configured -- resuming normal operations
[Tue Feb 01 10:52:22.192732 2022] [core:notice] [pid 25788] AH00094: Command line: '/usr/sbin/apache2'
[Tue Feb 01 10:52:22.273831 2022] [mpm_prefork:notice] [pid 25788] AH00171: Graceful restart requested, doing restart
[Tue Feb 01 10:52:25.486421 2022] [mpm_prefork:notice] [pid 25788] AH00163: Apache/2.4.38 (Debian) mod_fcgid/2.3.9 OpenSSL/1.1.1d configured -- resuming normal operations
[Tue Feb 01 10:52:25.486473 2022] [core:notice] [pid 25788] AH00094: Command line: '/usr/sbin/apache2'
[Tue Feb 01 10:52:28.948328 2022] [mpm_prefork:notice] [pid 25788] AH00171: Graceful restart requested, doing restart
[Tue Feb 01 10:52:31.591276 2022] [mpm_prefork:notice] [pid 25788] AH00163: Apache/2.4.38 (Debian) mod_fcgid/2.3.9 OpenSSL/1.1.1d configured -- resuming normal operations
[Tue Feb 01 10:52:31.591321 2022] [core:notice] [pid 25788] AH00094: Command line: '/usr/sbin/apache2'
[Tue Feb 01 10:52:31.952191 2022] [mpm_prefork:notice] [pid 25788] AH00171: Graceful restart requested, doing restart
[Tue Feb 01 10:52:32.177213 2022] [mpm_prefork:notice] [pid 25788] AH00163: Apache/2.4.38 (Debian) mod_fcgid/2.3.9 OpenSSL/1.1.1d configured -- resuming normal operations
[Tue Feb 01 10:52:32.177284 2022] [core:notice] [pid 25788] AH00094: Command line: '/usr/sbin/apache2'
[Tue Feb 01 10:52:38.627442 2022] [mpm_prefork:notice] [pid 25788] AH00171: Graceful restart requested, doing restart
[Tue Feb 01 10:52:39.062903 2022] [mpm_prefork:notice] [pid 25788] AH00163: Apache/2.4.38 (Debian) mod_fcgid/2.3.9 OpenSSL/1.1.1d configured -- resuming normal operations
[Tue Feb 01 10:52:39.062941 2022] [core:notice] [pid 25788] AH00094: Command line: '/usr/sbin/apache2'
[Tue Feb 01 10:52:39.243562 2022] [mpm_prefork:notice] [pid 25788] AH00169: caught SIGTERM, shutting down
[Tue Feb 01 12:08:47.684049 2022] [mpm_prefork:notice] [pid 27365] AH00163: Apache/2.4.38 (Debian) mod_fcgid/2.3.9 OpenSSL/1.1.1d configured -- resuming normal operations
[Tue Feb 01 12:08:47.684184 2022] [core:notice] [pid 27365] AH00094: Command line: '/usr/sbin/apache2'
Memory allocation failed `No such file or directory' @ fatal/tiff.c/RegisterTIFFImage/2317.

Pas sûr de bien comprendre ce message. Possible que tu sois arrivé au bout de ta ram.
Le trucs dans ce cas c’est d’avoir un paramètre systemd qui reboot tes services (et/ou plus de ram ou un fichier de swap)

Ce genre d’URL c’est une tentative d’attaque, mais bon y en a souvent des trucs comme ça, la question c’est est-ce que ça fonctionne. Pas impossible qu’un trucs externe ai réussi à faire crasher ton apache2.

ok. concernant la ram j’ai 3Go + 1Go de SWAP. La Swap est très
fréquemment utilisée mais pas des masses.
Par exemple là elle est utilisée à 39Mo après 2 jours d’uptime.
Et toujours une grande partie en cache … et ma swappiness est à 1 …

as-tu un tuto à me donner pour paramétrer systemd à rebooter les services ?

Cordialement
Pascal Léval

···

Le 03/02/2022 à 19:17, ljf via Alsace Réseau Neutre a écrit :

Memory allocation failed `No such file or directory’ @
fatal/tiff.c/RegisterTIFFImage/2317. |

Pas sûr de bien comprendre ce message. Possible que tu sois arrivé au
bout de ta ram.
Le trucs dans ce cas c’est d’avoir un paramètre systemd qui reboot tes
services (et/ou plus de ram ou un fichier de swap)

Pascal_Leval:

>/cgi-bin/.%2e/.%2e/.%2e/.%2e/bin/sh|

Ce genre d’URL c’est une tentative d’attaque, mais bon y en a souvent
des trucs comme ça, la question c’est est-ce que ça fonctionne. Pas
impossible qu’un trucs externe ai réussi à faire crasher ton apache2.


Voir le sujet
https://forum.arn-fai.net/t/plantage-apache-01-02-2022/5781/2 ou
répondre à ce courriel pour répondre.

Vous recevez ce courriel car vous avez activé la liste de diffusion.

Pour vous désabonner de ces courriels, cliquez ici
https://forum.arn-fai.net/email/unsubscribe/ae2ccc16448958d5be8c8401830d09990e03a3b73becab1beedffcfcbdf66923.