/var ist voll nur warum

FreeBSD, Gentoo, openSUSE, CentOS, Ubuntu, Debian
sllnd
Posts: 177
Joined: 2002-10-14 22:33

/var ist voll nur warum

Post by sllnd »

Hallo habe folgendes Problem:
df -h
Filesystem Size Used Avail Use% Mounted on
LABEL=/ 510M 150M 335M 31% /
tmpfs 10M 0 10M 0% /dev/shm
/dev/sda5 4.9G 518M 4.4G 11% /usr
/dev/sda6 4.9G 4.9G 45M 100% /var
/dev/sda7 63G 12G 51G 20% /home
tmpfs 506M 30M 476M 6% /tmp
jetzt mache ich ein:
du -sh /var/*
0 /var/X11R6
38M /var/adm
320K /var/cache
1.4M /var/dcc
0 /var/games
185M /var/lib
0 /var/lock
265M /var/log
0 /var/mail
0 /var/opt
180K /var/run
7.1M /var/spool
2.0M /var/state
0 /var/tmp
292K /var/usermin
2.4M /var/webmin
Ein du -sh /var ergibt 501MB.

Hatt jemand eine Ahnung woran das liegen könnte?! Weil zusammen gerechnet sind das niemals 4.9 GB

rkhunter hat kein ergebnis auf irgendwelche rootkits gemacht.

Vielen Dank für die Hilfe im Vorraus!

lord_pinhead
Posts: 774
Joined: 2004-04-26 15:57

Re: /var ist voll nur warum

Post by lord_pinhead »

Kann es sein das noch dateien offen sind von irgendwelchen Programmen? Schau mal mit lsof was aktuell offen ist und mounte /var ggfs mal neu, vielleicht hängt da irgendwas.

Das Problem hab ich atm auch auf meiner Workstation mit /boot. Hab 50 MB dafür angeben und 2 Kernel drin, plötzlich ist das schon voll, frag mich nicht warum.

kawfy
Posts: 307
Joined: 2002-08-08 23:45

versteckten Platzverbrauch finden

Post by kawfy »

:arrow: nach gelöschten, aber noch offenen Dateien suchen (Wahrscheinlichkeit: hoch):

Code: Select all

lsof | grep /var | grep (deleted)
:arrow: was verstecktes finden (Wahrscheinlichkeit: klein oder hübscher hack):

Code: Select all

du -ks /var/.[a-zA-Z0-9]*

User avatar
Joe User
Project Manager
Project Manager
Posts: 11164
Joined: 2003-02-27 01:00
Location: Hamburg

Re: /var ist voll nur warum

Post by Joe User »

Code: Select all

ls -alh /var/lib/mysql
PayPal.Me/JoeUserFreeBSD Remote Installation
Wings for LifeWings for Life World Run

„If there’s more than one possible outcome of a job or task, and one
of those outcomes will result in disaster or an undesirable consequence,
then somebody will do it that way.“ -- Edward Aloysius Murphy Jr.

wirtsi
Posts: 29
Joined: 2002-07-18 14:12

Re: /var ist voll nur warum

Post by wirtsi »

Ich hatte ein ähnliches Problem, hab mir die Haare gerauft ... bis ich heute auf Folgendes gekommen bin.

Normalerweise schreibt ein Programm nach etwa /home/user, wobei user eine dort gemountete Partition ist.

Falls diese mal nicht gemountet wird, so schreibt das Programm munter /home voll.

Wird dann wieder /home/user gemountet, so wird dieses Verzeichnis ja mit dem angegebenen Device überblendet und die in diesem Verzeichnis liegenden Dateien belegen nur Platz auf /home, sind aber nicht sichtbar.

Wenn man es weiß, ist es naheliegend, bei mir hat es etwas gedauert :-)

Wirtsi

sllnd
Posts: 177
Joined: 2002-10-14 22:33

Re: /var ist voll nur warum

Post by sllnd »

So das Problem ist gelöst, wollte gerade um auf Nummer siche zu gehen den Server komplett neu rebooten da fiel mir ein, dass ich den Apache noch gar nicht neu gestartet habe.

Schwups war die Partitoin nur noch 3% belegt. Da hat wohl jemand (ich weiss auch wer, also nicht denken jetzt da wär ein Hacker am Werk gewesen) dem Apache einfach mal die access_log im laufenden Betrieb weggschnappt.

Das war nur der Auslöser für die ganze Zumüllerei der /var Partition.

cyberdoro
Posts: 16
Joined: 2004-08-12 21:38

Re: versteckten Platzverbrauch finden

Post by cyberdoro »

Hallo,
habe nach gelöschten oder offene Datein gesucht,
kawfy wrote::arrow: nach gelöschten, aber noch offenen Dateien suchen (Wahrscheinlichkeit: hoch):

Code: Select all

lsof | grep /var | grep (deleted)
:arrow: was verstecktes finden (Wahrscheinlichkeit: klein oder hübscher hack):

Code: Select all

du -ks /var/.[a-zA-Z0-9]*
bei

Code: Select all

lsof | grep /var | grep (deleted)
kam bei mir folgendes...

Code: Select all

nscd      1951    root    7u      REG        3,6   217016   25182028 /var/run/nscd/dbVNVhZx (deleted)
nscd      1951    root    8r      REG        3,6   217016   25182028 /var/run/nscd/dbVNVhZx (deleted)
Meine frage nun kann ich die so einfach löschen, wenn ja wie ??
Denn wenn ich im Verzeichniss ls -l mache kommt

Code: Select all

total 136
drwxr-xr-x   2 root root     59 Mar 24 16:10 .
drwxr-xr-x  13 root root   4096 Mar 24 16:10 ..
-rw-------   1 root root 217016 Mar 24 16:10 group
-rw-r--r--   1 root root      5 Mar 24 16:10 nscd.pid
-rw-------   1 root root 217016 Mar 24 16:10 passwd
srw-rw-rw-   1 root root      0 Mar 24 16:10 socket
Danke für Eure Hilfe
MfG

oxygen
Posts: 2138
Joined: 2002-12-15 00:10
Location: Bergheim

Re: /var ist voll nur warum

Post by oxygen »

In dem du das Programm, dass das filehandle geöffnet hat (in dem Fall nscd) beendest bzw. neustartest.