Server überlastet - CPU-Nutzung bei 100%

[acheron]

Guten Abend,
seit einiger Zeit stürzt mein Server desöfteren ab. Laut den Logs ist der Arbeitsspeicher oder Virtual Memory überfüllt, doch gab es früher nie Probleme.

Hier ein kurzer Auszug aus der Warn

Code: Select all

Aug  1 06:33:25 hxxxxx kernel: HighMem: empty
Aug  1 06:33:25 hxxxxx kernel: Swap cache: add 73942430, delete 73942427, find 14085270/15857823, race 824+14877
Aug  1 06:33:25 hxxxxx kernel: Free swap  = 0kB
Aug  1 06:33:25 hxxxxx kernel: Total swap = 514072kB
Aug  1 06:33:25 hxxxxx kernel: Out of Memory: Killed process 6094 (proxymap).
Aug  1 06:34:33 hxxxxx sshd[6505]: Connection closed by 62.93.216.16
Aug  1 06:35:00 hxxxxx /USR/SBIN/CRON[6512]: (root) CMD (if [ -x /usr/bin/vnstat ] && [ `ls /var/lib/vnstat/ | wc -l` -ge 1 ]; then /usr/bin/vnstat -u; fi) 
Aug  1 06:37:28 hxxxxx kernel: oom-killer: gfp_mask=0x1d2
Aug  1 06:37:28 hxxxxx kernel: DMA per-cpu:
Aug  1 06:37:28 hxxxxx kernel: cpu 0 hot: low 2, high 6, batch 1
Aug  1 06:37:28 hxxxxx kernel: cpu 0 cold: low 0, high 2, batch 1
Aug  1 06:37:28 hxxxxx kernel: Normal per-cpu:
Aug  1 06:37:28 hxxxxx kernel: cpu 0 hot: low 32, high 96, batch 16
Aug  1 06:37:28 hxxxxx kernel: cpu 0 cold: low 0, high 32, batch 16
Aug  1 06:37:28 hxxxxx kernel: HighMem per-cpu: empty
Aug  1 06:37:28 hxxxxx kernel: 
Aug  1 06:37:28 hxxxxx kernel: Free pages:        5852kB (0kB HighMem)
Aug  1 06:37:28 hxxxxx kernel: Active:61966 inactive:62073 dirty:2 writeback:4 unstable:0 free:1463 slab:2154 mapped:123796 pagetables:618
Aug  1 06:37:28 hxxxxx kernel: DMA free:2092kB min:88kB low:108kB high:132kB active:5500kB inactive:5208kB present:16384kB pages_scanned:10794 all_unreclaimable? no
Aug  1 06:37:28 hxxxxx kernel: lowmem_reserve[]: 0 494 494
Aug  1 06:37:28 hxxxxx kernel: Normal free:3760kB min:2796kB low:3492kB high:4192kB active:242364kB inactive:243084kB present:506048kB pages_scanned:0 all_unreclaimable? no
Aug  1 06:37:28 hxxxxx kernel: lowmem_reserve[]: 0 0 0
Aug  1 06:37:28 hxxxxx kernel: HighMem free:0kB min:128kB low:160kB high:192kB active:0kB inactive:0kB present:0kB pages_scanned:0 all_unreclaimable? no
Aug  1 06:37:28 hxxxxx kernel: lowmem_reserve[]: 0 0 0
Aug  1 06:37:28 hxxxxx kernel: DMA: 7*4kB 0*8kB 1*16kB 0*32kB 0*64kB 0*128kB 0*256kB 2*512kB 1*1024kB 0*2048kB 0*4096kB = 2092kB
Aug  1 06:37:28 hxxxxx kernel: Normal: 222*4kB 17*8kB 1*16kB 1*32kB 2*64kB 0*128kB 0*256kB 1*512kB 0*1024kB 1*2048kB 0*4096kB = 3760kB
Aug  1 06:37:28 hxxxxx kernel: HighMem: empty
Aug  1 06:37:28 hxxxxx kernel: Swap cache: add 74046112, delete 74046078, find 14096852/15871023, race 830+14888
Aug  1 06:37:28 hxxxxx kernel: Free swap  = 0kB
Aug  1 06:37:28 hxxxxx kernel: Total swap = 514072kB
Aug  1 06:37:28 hxxxxx kernel: Out of Memory: Killed process 6332 (proxymap).
Aug  1 06:39:33 hxxxxx sshd[6608]: Connection closed by 62.93.216.16
Aug  1 06:40:00 hxxxxx /USR/SBIN/CRON[6618]: (root) CMD (if [ -x /usr/bin/vnstat ] && [ `ls /var/lib/vnstat/ | wc -l` -ge 1 ]; then /usr/bin/vnstat -u; fi) 
Aug  1 06:41:28 hxxxxx kernel: oom-killer: gfp_mask=0xd0
Aug  1 06:41:28 hxxxxx kernel: DMA per-cpu:
Aug  1 06:41:28 hxxxxx kernel: cpu 0 hot: low 2, high 6, batch 1
Aug  1 06:41:28 hxxxxx kernel: cpu 0 cold: low 0, high 2, batch 1
Aug  1 06:41:28 hxxxxx kernel: Normal per-cpu:
Aug  1 06:41:28 hxxxxx kernel: cpu 0 hot: low 32, high 96, batch 16
Aug  1 06:41:28 hxxxxx kernel: cpu 0 cold: low 0, high 32, batch 16
Aug  1 06:41:28 hxxxxx kernel: HighMem per-cpu: empty
Aug  1 06:41:28 hxxxxx kernel: 
Aug  1 06:41:28 hxxxxx kernel: Free pages:        5592kB (0kB HighMem)
Aug  1 06:41:28 hxxxxx kernel: Active:61814 inactive:62226 dirty:0 writeback:0 unstable:0 free:1398 slab:2221 mapped:123925 pagetables:619
Aug  1 06:41:28 hxxxxx kernel: DMA free:2064kB min:88kB low:108kB high:132kB active:5304kB inactive:5392kB present:16384kB pages_scanned:12564 all_unreclaimable? yes
Aug  1 06:41:28 hxxxxx kernel: lowmem_reserve[]: 0 494 494
Aug  1 06:41:28 hxxxxx kernel: Normal free:3528kB min:2796kB low:3492kB high:4192kB active:241952kB inactive:243512kB present:506048kB pages_scanned:13498 all_unreclaimable? no
Aug  1 06:41:28 hxxxxx kernel: lowmem_reserve[]: 0 0 0
Aug  1 06:41:28 hxxxxx kernel: HighMem free:0kB min:128kB low:160kB high:192kB active:0kB inactive:0kB present:0kB pages_scanned:0 all_unreclaimable? no
Aug  1 06:41:28 hxxxxx kernel: lowmem_reserve[]: 0 0 0
Aug  1 06:41:28 hxxxxx kernel: DMA: 0*4kB 0*8kB 1*16kB 0*32kB 0*64kB 0*128kB 0*256kB 2*512kB 1*1024kB 0*2048kB 0*4096kB = 2064kB
Aug  1 06:41:28 hxxxxx kernel: Normal: 184*4kB 7*8kB 1*16kB 1*32kB 2*64kB 0*128kB 0*256kB 1*512kB 0*1024kB 1*2048kB 0*4096kB = 3528kB
Aug  1 06:41:28 hxxxxx kernel: HighMem: empty
Aug  1 06:41:28 hxxxxx kernel: Swap cache: add 74152028, delete 74151892, find 14111844/15887783, race 830+14888
Aug  1 06:41:28 hxxxxx kernel: Free swap  = 0kB
Aug  1 06:41:28 hxxxxx kernel: Total swap = 514072kB
Aug  1 06:41:28 hxxxxx kernel: Out of Memory: Killed process 6356 (proxymap).

Wenn ich den Befehl "Top" in die Konsole eingebe erscheint mir tagsüber, dass Proxymap desöfteren ausgeführt wird und jeweils mit min. 25% CPU-Auslastung.
Das Counterscript hat auch manchmal über 80% CPU.

Für mich ist das unverständlich.

Ursachen, die für mich in Betracht kommen:
1. Ist es ein Problem, dass in meiner php.ini das memory_limit bei 32 MB ist?
2. Ein Fehler ist Postfix?
3. Ein Hardwaredefekt?

Könnt ihr mir vielleicht helfen?
Suse9.0
Apache2
Confixx3
Kernel 2.6.11.9

Danke!!

[rudi]

Zu Proxymap:
- http://www.postfix.org/proxymap.8.html
- http://www.google.de/search?hl=de&q=Pro ... uche&meta=

Hast du mal mit chkrootkit oder rkhunter nach Rootkits usw gescannt? Wenn nicht, dann mach das mal.

chkrootkit: http://www.chkrootkit.org/
rkhunter: http://www.rkhunter.org/

Könnte vielleicht ein Spamversender sein, der deinen Server nutzt.
Wenn dies der Fall ist, bitte http://www.rootforum.org/faq/index.php? ... artlang=de lesen!

Gruß Rudi

[andreask2]

Könnte auch sein dass der Mailserver einfach falsch / als open relay konfiguriert ist. Dafür gibt es verschiedene Seiten im Internet wo man das testen kann, z.B.: http://ordb.org/submit/

[acheron]

Vielen Dank für eure Tips!

Chrootkit 0.45 hat nichts gefunden. Nun lasse ich meinen Server auf ein offenes Relay überprüfen.

Kann es sein, dass Postfix einfach falsch läuft und ich es neu installieren sollte? Könnte das was helfen?

[acheron]

Anscheinend hat es mit Proxymap nicht ganz so viel zu tun, wie ich gedacht habe.

Heute ist Proxymap nicht der CPU-Fresser, sondern httpd2-prefork.

httpd2-prefork benötigt über 50% CPU

[andreask2]

Dann guck Dir doch mal die access_logs an (evtl. hilft Dir auch ein tool wie Webalizer dabei), ob das da alles seine Richtigkeit hat... vielleicht hast Du einfach nur viele Besucher?

[acheron]

Ich fühle mich geschmeichelt ;-) Aber glaube nicht, dass der Server von Zugriffen überlastet ist. Außer evtl. mit absichtlichen übermäßigen Zugriffen.

Auffällig ist, dass ich in der access_log beim scrollen hauptsächlich folgende Zeile sehe, die sich mehrmals in der Sekunde wiederholt:

220.166.32.44 - [Datum-Zeit] - "Get /404.html" (...) "http://www.blueyr.net/a/a.asp?B=2&ID=799238" (PC-/Browserangaben);

Mit welchem Befehl kann ich die IP oder die Internetseite sperren?

[acheron]

Hi Leute,

der Server lief nun wieder fast 2 Tage ohne Probleme. Und nun weiß ich auch warum:

Das Updatescript ist die letzte Zeit nicht mehr gelaufen. Nun wollte ich es ausführen und... Der Server hängt wieder.

Erst als das Script automatisch gekilled wurde, ging wieder alles.

Liegt das Problem vielleicht mal wieder an Confixx?