# Apache zu 100 % augelastet, Websites unerreichbar



## Falcon37 (18. Juli 2009)

Habe seit vorgestern 1:58 folgendes Problem:
Apache lastet zu 100 % aus. Warum weiß ich leider nicht, denke aber das es kein DoS ist.
top zeigt das:


> top - 17:34:07 up 1 day, 22 min,  1 user,  load average: 1.02, 75.21, 361.35
> Tasks: 1139 total,   1 running, 1104 sleeping,   0 stopped,  34 zombie
> Cpu(s):  2.8%us, 47.7%sy,  0.0%ni, 49.2%id,  0.0%wa,  0.2%hi,  0.2%si,  0.0%st
> Mem:   8278800k total,  3414428k used,  4864372k free,     3328k buffers
> ...


Weiß jemand was los sein könnte? Welche Logs sind in so einem fall relevant?
thx


----------



## Till (19. Juli 2009)

Check mal Dein System mit rkhunter. Außerdem mal mit einem portscanner von außen checek, ob da noch irgend was anderes auf dem Server läuft. Es kann sein dass jemand eine der sites gehackt hat da jetzt ein irc server oder so drauf läuft.


----------



## planet_fox (21. Juli 2009)

hi falcon gib mal bitte ne rückmeldung ob du was gefunden hast


----------



## Falcon37 (22. Juli 2009)

Sorry hatte den Server erstmal abgeschaltet und das automatische hochfahren hat nicht ganz geklappt, deswegen kann ich jetzt erst mit rkhunter untersuchen und Ports scannen.

Ich editiere diesen Post wenn ich Ergebnisse habe.


----------



## Falcon37 (22. Juli 2009)

*Hier das Ergebnis von rkhunter:*


```
System checks summary
=====================

File properties checks...
    Required commands check failed
    Files checked: 124
    Suspect files: 6

Rootkit checks...
    Rootkits checked : 110
    Possible rootkits: 0

Applications checks...
    Applications checked: 4
    Suspect applications: 0

The system checks took: 1 minute and 23 seconds

All results have been written to the logfile (/var/log/rkhunter.log)

One or more warnings have been found while checking the system.
Please check the log file (/var/log/rkhunter.log)
```
Das komplette Ergebnis kann man im Anhang laden (war zu groß für einen Post).

Portscan hat ergeben das alle offen sind so wie ich ins ISPConfig 3 eingestellt habe, bis auf *1863* (msnp) und *5190* (aol) -die sind offen?!

Zum Traffic kann ich nicht viel sagen, ISPConfig 3 hat ja leider noch keine Statistik und mein Bruder behauptet 2 GB pro Tag (das war aber schon immer so).

Übrigens ist es jetzt noch merkwürdiger geworden, TOP zeigt jetzt eine Last von durchschnittlich 15 % also normal und keine Zoombie-Prozesse mehr, trotzdem alles extrem langsam und ob die Last 100 % wäre.... Mein Provider hat mir versichert das es keine Netzwerkprobleme gibt.


----------



## Till (23. Juli 2009)

> ISPConfig 3 hat ja leider noch keine Statistik


Das würdest Du darüber auch wahrscheinlich nicht sehen können, wenn der Server gehackt wäre. Da sich hacker nicht daran halten und Ihren Traffic brav im apache log loggen 

Checke mal mit netstat -tap was da so auf diesen beiden Ports läuft.


----------



## Falcon37 (23. Juli 2009)

netstat -tap zeigt zumindestens momentan an, das nichts auf den Ports läuft.


----------



## planet_fox (23. Juli 2009)

Ist die auslastung immer ncoh so hoch ?


----------



## Falcon37 (23. Juli 2009)

Ja ist immer noch so hoch


----------



## Hoster (30. Juli 2009)

hast Du jetzt gefunden woran es lag ?


----------



## Falcon37 (1. Aug. 2009)

Ja war doch ein Angriff, Traffic war auch ziemlich hoch wie ich später erfahren habe, mein Anbieter hatte aber falsche Traffic-Stats angezeigt. Problem hält aber noch an, muss mir war wirksames einfallen lassen......


----------

