Hi!
Seit heute hab ich massive Probleme mit meinem Linux Rechner.
Es handelt sich um Suse Linux 8.2 und Confixx 2.x
Gleich vorne weg, es wurde seit wochen keine Ã?nderungen am System vorgenommen.
Folgendes Problem hab ich :
Der Server ist erreichbar per Ping, aber es funktionieren keine Internetseiten mehr. Hab dann mal in die Prozesse geschaut ob der httpd noch läuft. Der lief, und zwar ca. 50 mal.
Nach einem Neustart war das Problem behoben. Allerdings nur für 30min. Danach hatte ich wieder mind. 50mal den httpd in der Prozessliste.
In den Logs hab ich nichts besonderes gefunden. Das einzige waren ein paar ssh Login versuche mit irgendwelchen Namen. Aber es war kein erfolgreicher Login dabei.
Bereits nach dem Neustart ist der httpd mehrfach vorhanden. Hier ein Auszug :
wwwrun 1115 0.0 3.2 99800 16484 ? S 16:33 0:00 /usr/sbin/httpd -f /etc/httpd/http
wwwrun 1120 0.2 3.2 99848 16548 ? S 16:33 0:01 /usr/sbin/httpd -f /etc/httpd/http
wwwrun 1152 0.0 3.2 99800 16496 ? S 16:36 0:00 /usr/sbin/httpd -f /etc/httpd/http
wwwrun 1168 0.5 3.2 99868 16568 ? S 16:37 0:02 /usr/sbin/httpd -f /etc/httpd/http
wwwrun 1169 0.0 3.2 99800 16484 ? S 16:37 0:00 /usr/sbin/httpd -f /etc/httpd/http
wwwrun 1239 0.4 3.2 99844 16540 ? S 16:42 0:00 /usr/sbin/httpd -f /etc/httpd/http
wwwrun 1247 0.9 3.1 99708 16416 ? S 16:43 0:01 /usr/sbin/httpd -f /etc/httpd/http
Kann mir jemand sagen was hier passiert und was ich dagegen tun kann?
Vielen Dank für eure Hilfe.
Gruß
Alex
Falsche Config oder Angriff??
Re: Falsche Config oder Angriff??
wenn du die Anzahl der Prozesse ändern möchtest, gibt es folgende Einträge in der Apache-Konfig:
Du kannst auch mal in deine Logdateien schauen, ob etwas bestimmtes häufig aufgerufen wird (Skript etc.) bzw. ob das von einem Client verursacht wird.
Code: Select all
# StartServers ......... number of server processes to start
# MinSpareServers ...... minimum number of server processes which are kept spare
# MaxSpareServers ...... maximum number of server processes which are kept spare
# MaxClients ........... maximum number of server processes allowed to start
# MaxRequestsPerChild .. maximum number of requests a server process serves
# StartServers ......... initial number of server processes to start
# MaxClients ........... maximum number of server processes allowed to start
# ThreadsPerChild ...... constant number of worker threads in each server process
# MaxRequestsPerChild .. maximum number of requests a server process serves
# NumServers ........... constant number of server processes
# StartThreads ......... initial number of worker threads in each server process
# MaxThreadsPerChild ... maximum number of worker threads in each server process
# MaxRequestsPerChild .. maximum number of connections per server process (then it dies)
Re: Falsche Config oder Angriff??
Das Konfig File hab ich schon angepasst. Hab hierzu diverse Threads hier im Forum gefunden.
MinSpareServers 1
MaxSpareServers 1
StartServers 1
MaxClients 150
MaxRequestsPerChild 0
Mittlerweilen sieht die Prozessliste so aus :
wwwrun 1960 0.0 3.3 100324 17028 ? S 18:06 0:01 /usr/sbin/httpd -
wwwrun 1961 0.0 3.3 100280 16988 ? S 18:06 0:00 /usr/sbin/httpd -
wwwrun 1968 0.0 3.3 100288 17000 ? S 18:06 0:00 /usr/sbin/httpd -
wwwrun 1977 0.0 3.3 100280 16988 ? S 18:07 0:00 /usr/sbin/httpd -
wwwrun 1978 0.0 3.3 100280 16988 ? S 18:07 0:00 /usr/sbin/httpd -
wwwrun 1986 0.0 3.3 100316 17032 ? S 18:08 0:00 /usr/sbin/httpd -
wwwrun 2001 0.0 3.3 100312 17020 ? S 18:09 0:00 /usr/sbin/httpd -
wwwrun 2003 0.0 3.3 100280 16988 ? S 18:09 0:00 /usr/sbin/httpd -
wwwrun 2005 0.0 3.3 100304 17012 ? S 18:09 0:01 /usr/sbin/httpd -
wwwrun 2015 0.0 3.3 100312 17024 ? S 18:10 0:00 /usr/sbin/httpd -
wwwrun 2016 0.0 3.3 100316 17028 ? S 18:10 0:00 /usr/sbin/httpd -
wwwrun 2025 0.1 3.3 100316 17028 ? S 18:11 0:03 /usr/sbin/httpd -
wwwrun 2037 0.0 3.3 100280 16988 ? S 18:12 0:00 /usr/sbin/httpd -
wwwrun 2039 0.0 3.3 100304 17000 ? S 18:12 0:00 /usr/sbin/httpd -
wwwrun 2058 0.0 3.3 100324 17036 ? S 18:14 0:00 /usr/sbin/httpd -
wwwrun 2084 0.0 3.2 100188 16892 ? S 18:15 0:00 /usr/sbin/httpd -
wwwrun 2085 0.1 3.3 100336 17064 ? S 18:15 0:04 /usr/sbin/httpd -
wwwrun 2107 0.0 3.3 100352 17084 ? S 18:17 0:01 /usr/sbin/httpd -
wwwrun 2118 0.0 3.3 100280 16972 ? S 18:18 0:00 /usr/sbin/httpd -
wwwrun 2133 0.0 3.3 100280 16972 ? S 18:19 0:00 /usr/sbin/httpd -
wwwrun 2157 0.0 3.3 100332 17044 ? S 18:21 0:00 /usr/sbin/httpd -
wwwrun 2174 0.1 3.3 100316 17028 ? S 18:23 0:02 /usr/sbin/httpd -
wwwrun 2204 0.0 3.2 100188 16892 ? S 18:26 0:00 /usr/sbin/httpd -
wwwrun 2205 0.1 3.3 100340 17096 ? S 18:26 0:02 /usr/sbin/httpd -
wwwrun 2212 0.0 3.3 100280 16992 ? S 18:26 0:00 /usr/sbin/httpd -
wwwrun 2213 0.0 3.3 100280 16992 ? S 18:26 0:00 /usr/sbin/httpd -
wwwrun 2221 0.0 3.3 100320 17032 ? S 18:27 0:00 /usr/sbin/httpd -
wwwrun 2222 0.0 3.2 100188 16892 ? S 18:27 0:00 /usr/sbin/httpd -
wwwrun 2237 0.2 3.3 100344 17092 ? S 18:28 0:04 /usr/sbin/httpd -
wwwrun 2275 0.0 3.3 100288 17004 ? S 18:30 0:00 /usr/sbin/httpd -
wwwrun 2285 0.0 3.2 100188 16892 ? S 18:31 0:00 /usr/sbin/httpd -
wwwrun 2299 0.0 3.2 100188 16896 ? S 18:32 0:00 /usr/sbin/httpd -
wwwrun 2300 0.0 3.3 100340 17052 ? S 18:32 0:00 /usr/sbin/httpd -
wwwrun 2311 0.3 3.3 100344 17064 ? S 18:34 0:04 /usr/sbin/httpd -
wwwrun 2382 0.0 3.3 100288 16996 ? S 18:38 0:00 /usr/sbin/httpd -
wwwrun 2383 0.0 3.3 100316 17028 ? S 18:38 0:01 /usr/sbin/httpd -
wwwrun 2435 0.0 3.3 100332 17044 ? S 18:40 0:00 /usr/sbin/httpd -
wwwrun 2444 0.1 3.3 100336 17096 ? S 18:41 0:01 /usr/sbin/httpd -
wwwrun 2453 0.1 3.3 100336 17072 ? S 18:42 0:01 /usr/sbin/httpd -
wwwrun 2514 0.0 3.2 100188 16892 ? S 18:45 0:00 /usr/sbin/httpd -
wwwrun 2515 0.0 3.3 100280 16972 ? S 18:45 0:00 /usr/sbin/httpd -
wwwrun 2541 0.1 3.3 100316 17036 ? S 18:47 0:00 /usr/sbin/httpd -
wwwrun 2545 0.2 3.3 100336 17064 ? S 18:47 0:01 /usr/sbin/httpd -
wwwrun 2548 0.0 3.2 100188 16892 ? S 18:47 0:00 /usr/sbin/httpd -
wwwrun 2549 0.0 3.2 100188 16892 ? S 18:47 0:00 /usr/sbin/httpd -
wwwrun 2554 0.0 3.3 100328 17044 ? S 18:47 0:00 /usr/sbin/httpd -
wwwrun 2555 0.2 3.3 100348 17080 ? S 18:47 0:01 /usr/sbin/httpd -
wwwrun 2556 0.0 3.3 100324 17036 ? S 18:47 0:00 /usr/sbin/httpd -
So wie ich das sehe, ruft der das config file nicht mal mehr auf! Oder irre ich mich?
MinSpareServers 1
MaxSpareServers 1
StartServers 1
MaxClients 150
MaxRequestsPerChild 0
Mittlerweilen sieht die Prozessliste so aus :
wwwrun 1960 0.0 3.3 100324 17028 ? S 18:06 0:01 /usr/sbin/httpd -
wwwrun 1961 0.0 3.3 100280 16988 ? S 18:06 0:00 /usr/sbin/httpd -
wwwrun 1968 0.0 3.3 100288 17000 ? S 18:06 0:00 /usr/sbin/httpd -
wwwrun 1977 0.0 3.3 100280 16988 ? S 18:07 0:00 /usr/sbin/httpd -
wwwrun 1978 0.0 3.3 100280 16988 ? S 18:07 0:00 /usr/sbin/httpd -
wwwrun 1986 0.0 3.3 100316 17032 ? S 18:08 0:00 /usr/sbin/httpd -
wwwrun 2001 0.0 3.3 100312 17020 ? S 18:09 0:00 /usr/sbin/httpd -
wwwrun 2003 0.0 3.3 100280 16988 ? S 18:09 0:00 /usr/sbin/httpd -
wwwrun 2005 0.0 3.3 100304 17012 ? S 18:09 0:01 /usr/sbin/httpd -
wwwrun 2015 0.0 3.3 100312 17024 ? S 18:10 0:00 /usr/sbin/httpd -
wwwrun 2016 0.0 3.3 100316 17028 ? S 18:10 0:00 /usr/sbin/httpd -
wwwrun 2025 0.1 3.3 100316 17028 ? S 18:11 0:03 /usr/sbin/httpd -
wwwrun 2037 0.0 3.3 100280 16988 ? S 18:12 0:00 /usr/sbin/httpd -
wwwrun 2039 0.0 3.3 100304 17000 ? S 18:12 0:00 /usr/sbin/httpd -
wwwrun 2058 0.0 3.3 100324 17036 ? S 18:14 0:00 /usr/sbin/httpd -
wwwrun 2084 0.0 3.2 100188 16892 ? S 18:15 0:00 /usr/sbin/httpd -
wwwrun 2085 0.1 3.3 100336 17064 ? S 18:15 0:04 /usr/sbin/httpd -
wwwrun 2107 0.0 3.3 100352 17084 ? S 18:17 0:01 /usr/sbin/httpd -
wwwrun 2118 0.0 3.3 100280 16972 ? S 18:18 0:00 /usr/sbin/httpd -
wwwrun 2133 0.0 3.3 100280 16972 ? S 18:19 0:00 /usr/sbin/httpd -
wwwrun 2157 0.0 3.3 100332 17044 ? S 18:21 0:00 /usr/sbin/httpd -
wwwrun 2174 0.1 3.3 100316 17028 ? S 18:23 0:02 /usr/sbin/httpd -
wwwrun 2204 0.0 3.2 100188 16892 ? S 18:26 0:00 /usr/sbin/httpd -
wwwrun 2205 0.1 3.3 100340 17096 ? S 18:26 0:02 /usr/sbin/httpd -
wwwrun 2212 0.0 3.3 100280 16992 ? S 18:26 0:00 /usr/sbin/httpd -
wwwrun 2213 0.0 3.3 100280 16992 ? S 18:26 0:00 /usr/sbin/httpd -
wwwrun 2221 0.0 3.3 100320 17032 ? S 18:27 0:00 /usr/sbin/httpd -
wwwrun 2222 0.0 3.2 100188 16892 ? S 18:27 0:00 /usr/sbin/httpd -
wwwrun 2237 0.2 3.3 100344 17092 ? S 18:28 0:04 /usr/sbin/httpd -
wwwrun 2275 0.0 3.3 100288 17004 ? S 18:30 0:00 /usr/sbin/httpd -
wwwrun 2285 0.0 3.2 100188 16892 ? S 18:31 0:00 /usr/sbin/httpd -
wwwrun 2299 0.0 3.2 100188 16896 ? S 18:32 0:00 /usr/sbin/httpd -
wwwrun 2300 0.0 3.3 100340 17052 ? S 18:32 0:00 /usr/sbin/httpd -
wwwrun 2311 0.3 3.3 100344 17064 ? S 18:34 0:04 /usr/sbin/httpd -
wwwrun 2382 0.0 3.3 100288 16996 ? S 18:38 0:00 /usr/sbin/httpd -
wwwrun 2383 0.0 3.3 100316 17028 ? S 18:38 0:01 /usr/sbin/httpd -
wwwrun 2435 0.0 3.3 100332 17044 ? S 18:40 0:00 /usr/sbin/httpd -
wwwrun 2444 0.1 3.3 100336 17096 ? S 18:41 0:01 /usr/sbin/httpd -
wwwrun 2453 0.1 3.3 100336 17072 ? S 18:42 0:01 /usr/sbin/httpd -
wwwrun 2514 0.0 3.2 100188 16892 ? S 18:45 0:00 /usr/sbin/httpd -
wwwrun 2515 0.0 3.3 100280 16972 ? S 18:45 0:00 /usr/sbin/httpd -
wwwrun 2541 0.1 3.3 100316 17036 ? S 18:47 0:00 /usr/sbin/httpd -
wwwrun 2545 0.2 3.3 100336 17064 ? S 18:47 0:01 /usr/sbin/httpd -
wwwrun 2548 0.0 3.2 100188 16892 ? S 18:47 0:00 /usr/sbin/httpd -
wwwrun 2549 0.0 3.2 100188 16892 ? S 18:47 0:00 /usr/sbin/httpd -
wwwrun 2554 0.0 3.3 100328 17044 ? S 18:47 0:00 /usr/sbin/httpd -
wwwrun 2555 0.2 3.3 100348 17080 ? S 18:47 0:01 /usr/sbin/httpd -
wwwrun 2556 0.0 3.3 100324 17036 ? S 18:47 0:00 /usr/sbin/httpd -
So wie ich das sehe, ruft der das config file nicht mal mehr auf! Oder irre ich mich?
Re: Falsche Config oder Angriff??
Hi,
hab den Fehler gefunden. Der Grund war eine DOS Attacke auf
2 Webseiten. Hier wurden 2 PHP Seiten für den Angriff benutzt.
Nachdem ich die 2 IP Adressen geblockt hatte, war ruhe. Fragt sich nur wie lange.
Gruß
Alex
hab den Fehler gefunden. Der Grund war eine DOS Attacke auf
2 Webseiten. Hier wurden 2 PHP Seiten für den Angriff benutzt.
Nachdem ich die 2 IP Adressen geblockt hatte, war ruhe. Fragt sich nur wie lange.
Gruß
Alex