DDos Angriff? Ich glaub ich werd bombardiert!

[masterbla]

Hallo,

Ich habe so das Vermuten das auf meinem Rootserver eine DDos Atacke gestartet wurde.
Ich habe bei mir einen Apache2 Webserver am laufen, und php über fast-cgi. Seit heute ist meine hauptseite nicht mehr erreichbar und endet in einem 500 wenn ich die aufrufen will (nach langen warten).

Alle anderen Hosts lassen sich soweit aufrufen. netstat -a zeigt mir eine ungewöhnlich hohe Anzahl an Verbindungen zu meinem Webserver. Ich habe die Liste mal im Debianforum-Nopast gepostet.

http://nopaste.debianforum.de/2902

Ich bin mir nicht sicher ob es sich wirklich um ein ddos handelt, wie kann ich das zweifelsohne herausfinden? Und was kann ich tun? Ist es sinnvoll alle Verbindungen die aktuell offen sind mittels iptables zu blocken?

Bitte helft mir!

[rootsvr]

Hmm was hast denn auf dem Server irgendwas interessantes?
Alternative wäre natürlich nen Slashdot ;-)

Was sagen Logfiles, top und co?

[duergner]

Wenn alle anderen VHosts des Apache gehn kann es eigentlich kein DDoS sein, da dieser ja den kompletten Apache lahm legen würde. Hast du schon mal versucht, in die Logfiles zu schauen? Das soll in solchen Fällen wirklich oft helfen. :twisted:

Ich tippe hier eher mal drauf, dass du ein Problem mit den PHP Scripten dieser Präsenz hast.

[masterbla]

Hallo!

Ja, das hatte ich mir schon fast gedacht, - andere VHost sind zwar erreichbar, aber sie brauchen wirklich extremst lange zum laden. Ich hab jetzt mal mein Hauptseite deaktiviert und lass sie im Moment gegen einen 404 laufen. Jetzt laufen auch alle anderen VHost wieder flüssig.

Top und PS zeigen mir unmengen (ca. 15-20) an php-fcgi prozessen die auch die meiste CPU Leistung abgraben. error.log ist überflutet mit Meldungen. Folgende sehe ich öfters:

FastCGI: incomplete headers (0 bytes) received from server "/var/www/php-fcgi-scripts/web1/php-fcgi-starter", referer: http://www.****
[Wed Apr 12 15:33:22 2006] [error] [client 84.151.149.134] FastCGI: comm with (dynamic) server "/var/www/php-fcgi-scripts/web1/php-fcgi-starter" aborted: (first read) idle timeout (30 sec), referer: http://www.****

Und im Moment natürlich auch viele 404. Ich versteh aber nicht warum das Problem erst seit heute auftritt, ich habe nichts an der Konfiguration geändert, nur gestern noch einen VHost hinzugefügt...

Aber an den PHP Skripten habe ich nichts geändert. Deswegen ist mir auch der 500 unbegreiflich den ich bekomme wenn ich versuche die Seite zu laden...

[duergner]

Den 500 bekommst du wahrscheinlich, weil die PHP FCGI die Anfragen nicht mehr bearbeiten können und dann sterben. Aber ohne sinnvolle Logfileauszüge und Angabe, was diese Scripten machen sollen kann man dir nicht helfen.

[masterbla]

Den 500 bekommst du wahrscheinlich, weil die PHP FCGI die Anfragen nicht mehr bearbeiten können und dann sterben. Aber ohne sinnvolle Logfileauszüge und Angabe, was diese Scripten machen sollen kann man dir nicht helfen.

Naja, das Problem ist dass das so ziemlich das einzige ist was in den Logfile steht, nur zig mal nacheinander und halt die 404 Fehler, die sind nicht sonderlich interessant. Bei der Seite handelt es sich um ein Gästebuchhoster - Das was viel aufgerufen wird ist das Gästebuch, und das hab ich so optimal wie nur möglich geschrieben. MySQL Datenbank wird natürlich auch oft befragt, aber mehr ist da nicht.

Ich glaube auch nicht dass das Problem an den Skripten liegt, da ich wie gesagt nichts dran geändert habe. Mehr kann ich dir leider nicht geben, weil ich selbst nicht mehr habe ;) :(

Oder sag mir welche Logfiles du noch brauchst, ich bin ja für jede Art von Hilfe dankbar!

[Joe User]

MySQLd optimieren, FCGI-Prozesse erhöhen, Scripts cachen und gegebenfalls den Webserver wechseln...

[masterbla]

OK, ich mal sehen ob das was bringt - Webserver wechseln möchte ich aber nicht, bin mit dem Apache mehr als zufrieden :) Oder kennt ihr da eine wirklich bessere Alternative?

[Joe User]

http://www.lighttpd.net/