# Nichts geht mehr, Systemzustand nach ISPConfig 3 "kritisch"



## Falcon37 (28. Apr. 2009)

Moin Moin und hallo!

Der Server den ich mit ISPCOnfig 3 und Debian Lenny betreibe läuft seit fast einen Monat Problemfrei, nur jetzt auf einmal wirds komisch, Websites nicht erreichbar und beim Login zeigt der Monitor das an:







*Systemlast zeigt an:*

Server ist online seit:      29 days, 1:29 hours
Benutzer online:     1
Systemlast 1 Minute:     113.31
Systemlast 5 Minuten:     116.53
Systemlast 15 Minuten:     121.33

Außerdem zeigt "Dienste Anzeigen" das Apache offline ist EDIT: Konnte apache neu starten, läuft auch, aber extrem laaangsam (liegt wohl an der extremen Systemlast)

*Weiß wer was los ist oder sein könnte?* ISPCOnfig 3 will auch nicht mehr ganz, bekomme diese Meldung desöfteren: _Too many connections in /usr/local/ispconfig/interface/lib/classes/db_mysql.inc.php on line 73_, geht aber noch. DoS?

Welche Logs sollte ich posten? Würde jetzt schon welche posten, weiß aber nicht was hilfreich ist und was eben nicht...

Falls jemand helfen kann .....


----------



## planet_fox (28. Apr. 2009)

Was sagt netstat -tap und hast du einen erhöten traffic verbrauch ?


----------



## Falcon37 (29. Apr. 2009)

_netstat -tap_ konnte ich leider noch nicht machen da ich den Server erstmal ausgeschaltet habe und ihn jetzt nicht mehr anbekomme  Traffic ist wenn man dem Anbieter meines Vertrauens trauen kann unter 500 MB (ist eine kleine Website, extra Trafficsparend gemacht). Poste die Ausgabe von netstat wenn er wieder an ist, sonst nocht irgendwelche Logs wichtig`?


----------



## planet_fox (29. Apr. 2009)

ok. was läuft da ansonsten noch drauf


----------



## Falcon37 (29. Apr. 2009)

Zitat von planet_fox:


> was läuft da ansonsten noch drauf


Nix nur eine Website, mehr wollte ich gerade installieren...
OS ist Debian Lenny mit aktueller ISPConfig 3 Version paar Apache Mods, Fail2Ban und paar Sicherheitstools aber sonst gibt es nichts interessantes was die Installation betrifft. Der Anbieter denkt übrigens an einen Hardware Defekt, angeblich Prozessor kaputt (?) naja in diesem Augenblick wird das Ding außernander genommen - in ein paar Stunden weiß ich mehr und werde ich die nestat Ausgabe posten können...


----------



## Falcon37 (29. Apr. 2009)

Netsat ergibt:


```
tcp6     190      0 domain.com:www      p3EE3624A.dip.t-d:50059 CLOSE_WAIT                                                                                         -
tcp6       0      0 domain.com:www      p5486EDD9.dip.t-di:3740 CLOSE_WAIT                                                                                         3152/apache2
tcp6       0      0 domain.com:www      79.138.191.248.bre:3871 CLOSE_WAIT                                                                                         3263/apache2
tcp6       0      0 domain.com:www      p5DD31ECE.dip.t-di:2831 CLOSE_WAIT                                                                                         -
tcp6       0      0 domain.com:www      adsl190-2538138.d:16541 CLOSE_WAIT                                                                                         2911/apache2
tcp6     190      0 domain.com:www      pD9E6154D.dip.t-d:55637 CLOSE_WAIT                                                                                         -
tcp6       0      0 domain.com:www      p5486EDD9.dip.t-di:3729 CLOSE_WAIT                                                                                         3239/apache2
tcp6     203      0 domain.com:www      ABTS-North-Dynamic:1542 CLOSE_WAIT                                                                                         -
tcp6     190      0 domain.com:www      p5486EDD9.dip.t-di:3747 CLOSE_WAIT                                                                                         -
tcp6       0  13068 domain.com:www      f050094215.adsl.a:56358 CLOSE_WAIT                                                                                         3243/apache2
tcp6       0      0 domain.com:www      dslb-094-219-219-0:4341 CLOSE_WAIT                                                                                         -
tcp6       0  13140 domain.com:www      190.213.21.29%1346:2550 CLOSE_WAIT                                                                                         3258/apache2
tcp6     203      0 domain.com:www      p57AB1840.dip0.t-i:4506 CLOSE_WAIT                                                                                         -
tcp6       0      0 domain.com:www      p3EE3624A.dip.t-d:50052 CLOSE_WAIT                                                                                         -
tcp6       0      0 domain.com:www      93-103-6-73.static:7369 CLOSE_WAIT                                                                                         2903/apache2
tcp6       0  13068 domain.com:www      pD9E6154D.dip.t-d:55614 CLOSE_WAIT                                                                                         3023/apache2

ohne ende geht es so weiter über 30.000 weitere Einträge spast nicht mehr in den Post


tcp6     203      0 domain.com:www      ABTS-North-Dynamic:1593 CLOSE_WAIT                                                                                         -
tcp6     203      0 domain.com:www      p5DD31ECE.dip.t-di:2834 CLOSE_WAIT                                                                                         -
tcp6       0      0 domain.com:www      p5486EDD9.dip.t-di:3741 CLOSE_WAIT                                                                                         -
tcp6       0      0 domain.com:www      200.190.194.12%134:4916 CLOSE_WAIT                                                                                         3267/apache2
tcp6     150      0 domain.com:www      p3EE27139.dip.:afbackup CLOSE_WAIT                                                                                         -
tcp6       0  13140 domain.com:www      190.213.21.29%1346:2572 CLOSE_WAIT                                                                                         3169/apache2
tcp6     150      0 domain.com:www      pd907c8eb.dip0.t-:62804 CLOSE_WAIT                                                                                         -
tcp6     150      0 domain.com:www      41.212.209.117%134:1892 CLOSE_WAIT                                                                                         -
tcp6       0      0 domain.com:www      p5486EDD9.dip.t-di:3739 CLOSE_WAIT                                                                                         3061/apache2
tcp6     190      0 domain.com:www      201-243-75-76.dyn.:3983 CLOSE_WAIT                                                                                         -
tcp6       0      0 domain.com:www      pd907c8eb.dip0.t-:62794 CLOSE_WAIT                                                                                         2963/apache2
tcp6     190      0 domain.com:www      201-243-75-76.dyn.:3982 CLOSE_WAIT                                                                                         -
tcp6       0      0 domain.com:www      93-103-6-73.static:7373 CLOSE_WAIT                                                                                         3074/apache2
tcp6     203      0 domain.com:www      p57AB1840.dip0.t-i:4503
```
ISPConfig zeigt aber jetzt:


```
Server ist online seit:      0 days, 0:26 hours
Benutzer online:     0
Systemlast 1 Minute:     0
Systemlast 5 Minuten:     0
Systemlast 15 Minuten:     0
```
und


```
0 unbekannt | 0 Info | 1 Warnung | 0 kritsch | 0 Fehler
```
Server ist aber wahnsinnig langsam?
Hmmm, komisch...


----------



## planet_fox (29. Apr. 2009)

hm das sieht für mich normal aus .



> angeblich Prozessor kaputt


Komisch, noch nie gehört davon. 

Schau mal auch was da alles für apche instanzen laufen.


----------



## Falcon37 (29. Apr. 2009)

Also gerade zeigte er, also ISPConfig, das es _wieder_ kritisch sei (gleiche Meldungen wie oben beschrieben aufm Bild) aber jetzt 10-20 Minuten später wieder alles normal.


----------



## Till (30. Apr. 2009)

Die Last ist schon sehr hoch. Schau mal mit dem Befehl "top" nach, von welchen Prozessen die hohe Last erzeugt wird.



> *Weiß wer was los ist oder sein könnte?* ISPCOnfig 3 will auch nicht mehr ganz, bekomme diese Meldung desöfteren: _Too many connections in /usr/local/ispconfig/interface/lib/classes/db_mysql.inc.php on line 73_, geht aber noch. DoS?


DOS aber eher wahrscheinlich ist ine spam Welle. Setz mal eine hohe anzahl für max_connections und max_user_connections in der mysql my.cnf, ich würde für beides mal 500 nehmen.


----------



## Falcon37 (30. Apr. 2009)

ok thx, habs gemacht, aber immer noch unverändert leider. Welche httpd.conf verwendet ISPConfig 3 für Apache? Also die Standard oder hat er neu angelegt bzw. verändert eigene?


----------



## planet_fox (30. Apr. 2009)

Standardmässig die apache.conf und isp hat einen eigenen vhost


----------



## Falcon37 (1. Mai 2009)

Ach so danke.
Habe jetzt den Server neu aufgesetzt und die Sicherheit besonders gegen DoS und DoSS erhöht allerdings ist etwas komisch: So bald ich die Hauptwebsite wieder aufsetze steigt die Systemlast extrem:



So bald ich die Website wieder offline nehme bzw. einfach die .PHP Dateien dieser lösche läuft wieder alles normal mit 0 % CPU Belastung, da der Traffic lächerlich gering ist und den Logs zu folge auch keine millionen Zugriffe erfolgen denke ich es muss an der Website bzw. den php Dateien liegen? Wurde vielleicht ein Virus oder sowas das verursacht? User haben auf der Website die möglichkeit Avatars hochzuladen...

*Hatte jemand sowas schon mal bzw. hat eine Idee?* Werde mir jetzt erstmal alle Dateien genau ankuken...


----------



## planet_fox (1. Mai 2009)

schau mal auf was in den logs steht auf welche dateien geht das ganze los. Was hast du für ein cms dort laufen ?


----------



## Falcon37 (1. Mai 2009)

In der error.log steht desöfteren - aber sonst nichts verdächtiges:

```
[Fri May 01 15:50:06 2009] [error] [client XXXXXX] client denied by server configuration: /var/www/domain.us/web/
```
und im access.log steht nicht besonderes
es läuft nur ein phpBB aktuelle version - unmodded


----------



## planet_fox (1. Mai 2009)

läuft da suphp oder fcgi


----------



## Falcon37 (1. Mai 2009)

fcgi + suxec


----------



## Till (3. Mai 2009)

Wie fiele fcgi Prozesse lässt Du denn automatisch starten? Hast Du vielleicht den Default von 5 oder so geändert?


----------



## Falcon37 (3. Mai 2009)

Zitat von Till:


> Wie fiele fcgi Prozesse lässt Du denn automatisch starten? Hast Du vielleicht den Default von 5 oder so geändert?


Also wie viele fcgi Prozesse kann ich nicht sagen, habe aber default nicht geändert.


----------



## Till (4. Mai 2009)

Wie viele Websites hast Du bei dir drauf, bei denen fcgi aktiviert ist?


----------



## Falcon37 (4. Mai 2009)

2 - eine davon benötigt allerdings kein PHP/fcgi. Server hat 4 GB RAM und unter 900 echte eindeutige Besucher


----------



## Till (5. Mai 2009)

Und web1 steht auf php-fcgi oder auf php-cgi oder suphp?


----------



## Falcon37 (5. Mai 2009)

web1 steht auf php-fcgi + SuEXEC


----------



## Till (6. Mai 2009)

Stell es doch testweise mal auf suphp oder aber php-cgi + suexec.


----------



## Falcon37 (9. Mai 2009)

Ok, also habe mal neu aufgesetzt und die Einbindung von PHP geändert, jetzt lief alles auch circa 1 Tag aber jetzt bekomme ich wieder diese Meldung:

```
Warnung:
Der Server ist stark ausgelastet [mehr...]
```
_stark_ hat sich dann später in _extrem_ geändert -.- 

Top zeigt diess:


----------



## Till (9. Mai 2009)

Dann hast Du wohl ein Problem mit einer dos attacke oder so, ich denke nicht dass es am server setup liegt.


----------



## Falcon37 (9. Mai 2009)

DoS dachte ich zuerst natürlich auch, aber Traffic und Aufrufe passen nicht zusammen. Sobald ich die Site offline nehme, ist nur ein phpBB Forum, also nur die .php Dateien lösche, ist wieder alles normal. Denke es liegt irgendein Fehler im Script vor das vielleicht durch einen Trick zum Überlastung führen kann oder ich habe php.ini etwas weniger gut eingestellt... Verwende jetzt ein anderes Script und zumindestens bis jetzt läuft alles.

Danke


----------



## mrairbrush (19. Mai 2009)

nimm vbulletin. hatte auch mal ein phpbb. Nur Ärger mit. Ständig Sicherheitslücken und Attacken. Ist leider so bei opensource.
Schau mal in die DB des phpbb wo die Suchbegriffe drin stehen. Wenn die
im Millionenbereich sind weißt woran es liegt. Hat bei mir immer alles runtergezogen bis der server stand.


----------

