Apache fährt automatisch down

[handeglo]

Guten Tag und Hallo Zusammen,

Ich werde echt langsamm verrückt wegen den Vserver bei 1&1.
Mein Problem ist, dass der Apache in unregelmäßigen Abständen runter fährt.
Ich fand bis "jetzt" keine fehler in der log dateien.
Bitte Bitte welche log dateien soll ich hier noch rein stellen, damit ihr euch einBild machen könnt. Meine zwei Domäns fahren logischeweise automatisch auch runter.

ihr seid echt mein letzte chance!!!


Vielen Dank

[cugar]

schau mal in die qos-alarme in deinem plesk - steht da irgendwas von gelber bereich schwarzer bereich????

[handeglo]

cugar Vielen Dank für deine Hilfe erste mal...

ja es steht ... ja es steht nicht nur einmal sondern mehrere mals "Gelbe-bereich" bzw "yellow zone"

Es ist auch immer von "kmemsize" als Parameter die rede... kein plan was das ist!!!!

[floogy]

Kommt auf Deine VPS an, aber cat /proc/user_beancounters könnte Licht ins Dunkel bringen. Außerdem ist top hilfreich:
http://wiki.debianforum.de/LinuxSpeichermanagement
und pstree :

Code: Select all

 pstree -apu|grep -A10 apache

bzw.

Code: Select all

ps axu|grep apache|wc -l

[cugar]

handeglo

hmmm

schaut danach aus als ob er zuwenig speicher bekommt (1und1 gibt nur 128mb her)

schalt mal unnötige dienste ab.

und soweit ich weiss gibt es ein paar einstellungen in der httpd.conf die du ändern solltest damit nicht unnötig speicher verbraten wird ....

ich suchs sie dir raus und poste sie dann (hab sie nicht mehr auswendig im kopf)

bzw. auch mal die error_log vom apache könnte informationen beinhalten (einfach in deinem plesk unter date-manager /var/log/apache2/err_log) da müsste er eigentlich protokollieren warum er runterfährt.....

lg

cugar

[handeglo]

Vielen Dank schon mal floogy....
Ich fang am besten mit top an .... ja ich frag mich auch was "qmailr" da macht

Code: Select all

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
    1 root      16   0   604  248  216 S  0.0  0.0   0:00.00 init
26402 root      15   0  1456  592  496 S  0.0  0.0   0:27.14 syslogd
26408 root      18   0  3984  784  556 S  0.0  0.0   0:00.00 saslauthd
26409 root      18   0  3984  468  240 S  0.0  0.0   0:00.00 saslauthd
26440 root      16   0  2376 1132  920 S  0.0  0.0   0:00.00 mysqld_safe
26474 mysql     16   0  114m  25m 4636 S  0.0  0.6   0:35.16 mysqld
26489 root      16   0  4524 1124  756 S  0.0  0.0   0:00.00 sshd
26495 root      15   0  2076  908  720 S  0.0  0.0   0:00.23 xinetd
26542 named     19   0 36308 2704 1844 S  0.0  0.1   0:00.00 named
26557 qmails    15   0  1620  740  376 S  0.0  0.0   1:19.46 qmail-send
26559 qmaill    16   0  1388  444  384 S  0.0  0.0   0:23.04 splogger
26560 root      18   0  1416  332  252 S  0.0  0.0   0:00.00 qmail-lspawn
26561 qmailr    16   0  7356 6404  272 S  0.0  0.2   0:12.76 qmail-rspawn
26562 qmailq    16   0  1380  324  268 S  0.0  0.0   0:09.60 qmail-clean
27655 root      16   0 27696  11m 6840 S  0.0  0.3   0:00.28 httpd2-prefork
27656 wwwrun    16   0 39560  21m 4908 S  0.0  0.5   3:58.60 httpd2-prefork
27657 wwwrun    16   0 40036  21m 4832 S  0.0  0.5   1:42.85 httpd2-prefork
27671 root      16   0 47372 4740 2988 S  0.0  0.1   0:00.01 httpsd
27675 psaadm    15   0 54264  23m  15m S  0.0  0.6   0:00.91 httpsd
27865 root      16   0  1668  696  568 S  0.0  0.0   0:00.05 cron
28116 wwwrun    16   0 40064  21m 4864 S  0.0  0.5   2:45.28 httpd2-prefork
29899 wwwrun    16   0 39652  21m 5364 S  0.0  0.5   0:47.27 httpd2-prefork
23570 wwwrun    16   0 40048  21m 4756 S  0.0  0.5   0:35.82 httpd2-prefork
11550 wwwrun    16   0 39552  21m 5024 S  0.0  0.5   0:41.13 httpd2-prefork
20009 wwwrun    15   0 40088  21m 5248 S  0.0  0.6   3:33.05 httpd2-prefork
27981 wwwrun    16   0 39572  21m 5068 S  0.0  0.5   2:33.55 httpd2-prefork
27986 wwwrun    16   0 39556  21m 4896 S  0.0  0.5   3:45.08 httpd2-prefork
 7311 wwwrun    16   0 39584  21m 5328 S  0.0  0.5   1:24.33 httpd2-prefork
15832 psaadm    15   0 52652  19m  12m S  0.0  0.5   0:00.43 httpsd
17890 root      16   0  7116 2224 1796 S  0.0  0.1   0:00.09 sshd
17940 editatbi  16   0  7132 1448 1000 S  0.0  0.0   0:00.04 sshd
17941 editatbi  17   0  2964 1740 1280 S  0.0  0.0   0:00.00 sh
17962 root      16   0  4988 1884 1176 S  0.0  0.0   0:00.00 su
17967 root      15   0  2712 1744 1288 S  0.0  0.0   0:00.01 bash
 7237 psaadm    15   0 54340  21m  13m S  0.0  0.5   0:00.40 httpsd
15821 qmailr    15   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
15869 qmailr    15   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
17487 qmailr    16   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
17560 qmailr    15   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
17768 qmailr    16   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
18213 qmailr    16   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
18214 qmailr    15   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
18317 qmailr    15   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
19478 qmailr    16   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
19490 man       16   0  1692  808  648 T  0.0  0.0   0:00.05 man
19491 man       16   0  2632 1044  848 T  0.0  0.0   0:00.00 sh
19496 man       16   0  1808  748  596 T  0.0  0.0   0:00.00 less
19506 qmailr    15   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
20048 qmailr    15   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
20071 qmailr    16   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
20074 qmailr    15   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
20095 qmailr    15   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
20378 qmailr    16   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
20458 qmailr    16   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote
21977 qmailr    16   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote

so dann [/code]

Code: Select all

 

Version: 2.5
       uid  resource                     held              maxheld              barrier                limit              failcnt
  45019563: kmemsize                  8229714              8250022             41943040             46137344                    0
            lockedpages                     0                    0                 1024                 1024                    0
            privvmpages                 98911                98980               262144               288358                    0
            shmpages                     8864                 8864                65536                65536                    0
            dummy                           0                    0                    0                    0                    0
            numproc                        71                   71                  256                  256                    0
            physpages                   54110                54113           2147483647           2147483647                    0
            vmguarpages                     0                    0               131072           2147483647                    0
            oomguarpages                54110                54113               131072           2147483647                    0
            numtcpsock                     50                   51                 1440                 1440                    0
            numflock                        7                    8                  752                  826                    0
            numpty                          1                    1                   64                   64                    0
            numsiginfo                      2                    3                 1024                 1024                    0
            tcpsndbuf                  487552               478176              6881280             10813440                    0
            tcprcvbuf                  802816               786432              6881280             10813440                    0
            othersockbuf                16408                20152              4504320              8388608                    0
            dgramrcvbuf                     0                 4392              1048576              1153432                    0
            numothersock                   28                   29                 1440                 1440                    0
            dcachesize                1053945              1059939              7340032              8074035                    0
            numfile                      2960                 2960                16384                16384                    0
            dummy                           0                    0                    0                    0                    0
            dummy                           0                    0                    0                    0                    0
            dummy                           0                    0                    0                    0                    0
            numiptent                      54                   54                  200                  200                    0

pstree -apu|grep -A10 apache[/code]

Code: Select all

 

       numothersock                   28                   29                 1440                 1440

ps axu|grep apache|wc -l

Code: Select all

 

 20071 qmailr    16   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote

[floogy]

Bei mir laufen z.B. nur noch zwischen 26-30 Prozesse, und ich habe 264MB zur Verfügung.
Die zu startenden apache przesse habe ich stark einschränken müssen, confixx oder plesk läuft bei mir nicht (ob es laufen würde weiß ich nicht, ich denke schon). Hier mal die dazu gehörenden Einträge in der httpd.conf:

Code: Select all

#MinSpareServers 5
#MaxSpareServers 10
MinSpareServers 1 
MaxSpareServers 2

Das kann natürlich schnell dazu führen, dass der apache bei zu vielen Zugriffen nicht mehr ausliefern kann.

Den ganzen pop3, imap, cyrus dovecot Krempel musste ich deinstallieren/deaktivieren (man sysv-rc-conf).

You get what you payed for: An diesen Satz erinnert mich mein vserver ständig.

[floogy]

[...]

Code: Select all

pstree -apu|grep -A10 apache

Code: Select all

      numothersock                   28                   29                 1440                 1440

ps axu|grep apache|wc -l

Code: Select all

  20071 qmailr    16   0  2688  832  660 S  0.0  0.0   0:00.00 qmail-remote

Hmmm... das kann definitiv nicht stimmen, ich tippe auf einen copy & paste Fehler. Wir können zur Diagnose aber darauf verzichten, da die top-Ausgabe schon die Info lieferte. Übrigens würde bei Dir httpd2 anstelle von apache greifen bezüglich der ps und pstree grep-Suchbegriffe.

Du solltest qmail und apache optimieren, was den Speicherbedarf angeht.
Andererseits hast Du keinerlei failcnts, was dafür spricht, dass es sich um ein anderes Problem handelt.
Schaue bitte in die apache error.log, um mehr über die Umstände zu erfahren.

[cugar]

You get what you payed for: An diesen Satz erinnert mich mein vserver ständig.

geht es uns nicht allen so?

und dann haun die noch den suse-dreck drauf........

[Joe User]

und dann haun die noch den suse-dreck drauf

Liber OpenSUSE als Debian oder gar Fedora...

[cugar]

ist zwar jetzt ot:

aber meine rede - debian oder fedora (openSUSE hab ich nocht getestet da ich glaub dass es dem suse ziemlich ähnelt...... *sfg*)

[handeglo]

Du solltest qmail und apache optimieren, was den Speicherbedarf angeht.
Andererseits hast Du keinerlei failcnts, was dafür spricht, dass es sich um ein anderes Problem handelt.
Schaue bitte in die apache error.log, um mehr über die Umstände zu erfahren.

floogy Ich danke dir wie mache ich das ???????????????
ich hab keine ahnung wie man den speicher optimiert
Ich brauche das hier alles nicht ich verwende von dem Server keinen mail und brauche es auch nicht wie schalte ich das hier alles aus ?


noch eins ich hab mal "ps aux" eingegeben dann kommt auch noch mit yahoo email.. diese email kenne ich persönlich gar nicht ... wie mache ich das weg was sind das überhaupt

[floogy]

Dein Server wird als Spam-Schleuder missbraucht. Bitte stoppe qmail sofort!
Wie das geht sagt Dir Google: "Server stoppen <Distributionsname> qmail"
Diese "Aktivität" dürfte auch der Grund für die Webserverausfälle sein!

http://www.rootforum.org/forum/viewtopic.php?t=47596

Du solltest unbedingt Deine Server Logs nach Spuren eines Einbruchs untersuchen. Ich denke jedoch, dass ein "Open Relay" durch eine nicht abgedichtete Mailserverkonfiguration ebenso wahrscheinlich ist.

Hast Du eine in PHP etc. geschriebene Webapplikation wie z.B. ein Kontentmanagementsystem, oder ein Forum oder Kontaktformular installiert?
Diese können Sicherheitslücken aufweisen:
http://www.rootforum.org/forum/viewtopic.php?t=47632

Befasse Dich bitte mit den Grundlagen der Serveradministration, -sicherheit und dem Handbuch der verwendeten Distribution!

[handeglo]

Danke dir floogy ...
ich hab jetzt folgendes gemacht...
Du hast bestimmt recht das könnte es gewesen sein...
der qmail war auch an ich hatte ca. nur heute 14.000 Spams ...
was ich jetzt gemacht habe ist:

der qmail service ist gestopt und der Autostart was vorher aktiv war auch gestopt.
Bei den Firewall habe ich folgendes gemacht:

SMTP (mail sending) server
POP3 (mail retrieval) server
IMAP (mail retrieval) server

voher war es ALLOW incoming from ALL ... Jetzt ist es aber DENY
Ich brauche es so oder so nicht

was fehlt noch?

[floogy]

Du solltest Deine Qmail-Konfiguration danach untersuchen, ob qmail als Open Relay gedient hat (wahrscheinlich), falls Du herausfindest, dass die qmail Konfiguration ok war, hast Du wahrscheinlich ein ernstes Problem. Dann könnte es sein, dass Dein server gehackt ist.

Code: Select all

lsof
netstat -tulpe 
nmap --max-retries 1  --system-dns -sT $(lynx --dump whatismyip.org)

könnten Dir bei der Untersuchung dann helfen.
Falls das die Befürchtungen bestärkt solltest Du Deine logs kurz untersuchen:
http://www.rootforum.org/forum/viewtopi ... 073#296073
Falls das positiv, also schlecht für Dich ausfällt, solltest Du sofort alle wichtigen Daten aus /home und die logs aus /var per scp auf Deinen Desktop sichern, und den Server so schnell wie möglich vom Netz nehmen. Eventuell noch /etc sichern, das aber nur noch zum spicken verwenden, das selbe gilt für Konfigurationsdateien aus /home.

Bitte nicht alle Ausgaben roh posten, die könnten nämlich ellenlang ausfallen. Falls Dir etwas verdächtig vorkommen sollte reicht der Bereich und sein Kontext wahrscheinlich aus.

[handeglo]

also so sieht es aus wenn ich

netstat -tuple eingebe

tcp 0 0 *:pcsync-https *:* LISTEN root 28016516 27671/httpsd
tcp 0 0 *:https *:* LISTEN root 28016393 27655/httpd2-prefor
tcp 0 0 *:ntp *:* LISTEN root 28015926 26489/sshd
tcp 0 0 *:imaps *:* LISTEN root 28015962 26495/xinetd
tcp 0 0 *:pop3s *:* LISTEN root 28015964 26495/xinetd
tcp 0 0 *:poppassd *:* LISTEN root 28015966 26495/xinetd
tcp 0 0 *:pop3 *:* LISTEN root 28015963 26495/xinetd
tcp 0 0 *:imap *:* LISTEN root 28015961 26495/xinetd
tcp 0 0 *:cddbp-alt *:* LISTEN root 28016515 27671/httpsd
tcp 0 0 *:www-http *:* LISTEN root 28016392 27655/httpd2-prefor
tcp 0 0 *:smtps *:* LISTEN root 28015968 26495/xinetd
tcp 0 0 s15249213.online:domain *:* LISTEN named 28016054 26542/named
tcp 0 0 s15249213.online:domain *:* LISTEN named 28016052 26542/named
tcp 0 0 *:ftp *:* LISTEN root 28015965 26495/xinetd
tcp 0 0 s15249213.onlinehom:953 *:* LISTEN named 28016056 26542/named
tcp 0 0 *:smtp *:* LISTEN root 28015967 26495/xinetd
udp 0 0 *:58527 *:* named 28016055 26542/named
udp 0 0 s15249213.online:domain *:* named 28016053 26542/named
udp 0 0 s15249213.online:domain *:* named 28016051 26542/named

was sagt mir das?

[floogy]

Das über den xinetd noch ein anderer mailserver läuft, der munter weitermacht, und sich auch bei Deinem nameserver bei der Auflösung der Domains bedient?

Ich habe nun leider keine Zeit mehr, vielleicht kümmert sich hier noch jemand anderes um Dein Problem.

Den xinetd müsstest Du mal näher untersuchen.
In die /etc/hosts /etc/hosts.allow und /etc/hosts.deny schauen. In letzterer sollte einfach ALL:ALL stehen, alles weitere wird in der /etc/hosts.allow erlaubt. Dort sollte ausschließlich sshd erlaubt sein (Es könnte noch vsftp für plesk oder confixx nötig sein, bitte informiere Dich da anderweitig, da ich davon keine Ahnung habe).

[handeglo]

floogy danke dir ..
du meinst in etc/hosts.allow und etc/hosts.deny sollten in den letzen zeieln

ALL:ALL stehen ?

warum und was bringe mir das???

zur Zeit steht in etc/hosts.allow

sendmail::ALL


und in etc/hosts.deny

http-rman : ALL EXCEPT LOCAL

gruss

[floogy]

http://www.freebsd.org/doc/de_DE.ISO885 ... ppers.html
http://gd.tuwien.ac.at/books/tutorials/ ... rapper.htm

Code: Select all

http-rman : ALL EXCEPT LOCAL

in der hosts.deny besagt, dass http-rman von Deinem Rechner lokal genutzt werden kann, aber sonst von niemanden, was ok ist. Allerdings vermisse ich ALL:ALL, da dadurch alles verboten wird, was nicht explizit in hosts.allow erlaubt wurde.

Code: Select all

http-rman : LOCAL

in der hosts.allow, und ALL:ALL in der hosts.deny fände ich logischer. (?)

Es ist besser, alles dicht zu machen, und nur das freizugeben, was man braucht, als alles zu erlauben, und jeden möglichen Dienst einzeln zu verbieten.

Bedenke, dass der tcp-wrapper nur den Zugriff der inetd-Dienste, und Dienste, die mit tcp-wrapper-Unterstützung kompiliert wurden steuert.

[handeglo]

also vielen vielen Dank an alle :-)
ich hab jetzt es so gemacht floogy wie du es mir gesagt hast ...
hatte übrigens 14.000 Spams gestern... hab sie alle gelöscht und nun ist ein Dienst weniger... es kann durchaus sein, dass diese qmailr mein Memory voll gemacht hat. Denke ich mir mal :-)
falls das mit der Apache-down nochmals passiert, werde ich mich nochmals melden.


Grüsse und Vielen Dank

[floogy]

Dein Server wird als Spam-Schleuder missbraucht. [...]

Du solltest unbedingt Deine Server Logs nach Spuren eines Einbruchs untersuchen. Ich denke jedoch, dass ein "Open Relay" durch eine nicht abgedichtete Mailserverkonfiguration ebenso wahrscheinlich ist.

Hast Du eine in PHP etc. geschriebene Webapplikation wie z.B. ein Kontentmanagementsystem, oder ein Forum oder Kontaktformular installiert?
Diese können Sicherheitslücken aufweisen:
http://www.rootforum.org/forum/viewtopic.php?t=47632

Befasse Dich bitte mit den Grundlagen der Serveradministration, -sicherheit und dem Handbuch der verwendeten Distribution!

Hast Du demnach auch das hier gelesen?

Code: Select all

grep -i '=http' /path/to/access.log

Das gibt Dir alle versuchten URL-Includes aus, welche Dir einen groben Überblick über die häufigsten Einbruchsversuche gibt. Diese Einbruchsversuche kannst Du mit folgender Option in der php.ini ins Leere laufen lassen:

Code: Select all

allow_url_include = off

Das ist allerdings nur die häufigste Art Webserver zu kapern...

Und den server nach Einbrüchen untersucht?
Was ist mit der qmail-Konfiguration? Ist es als "Open Relay" konfiguriert worden? Oder sind die Spams über einen anderen Weg (also lokal von einer komprommitierten Webanwendung aus) versandt worden?

Anders gesagt: Hast Du die Sache mal zum Anlass genommen Dein Sicherheitskonzept zu überdenken?

[handeglo]

servus Floogy,

zunächst mal ein Schritt zurück...
ich hab beim allow und Deny die konfiguration zwar gemacht wie du es auch beschrieben hast.. plötzlich kommen 1000 anrufe und mir wird gesagt, die leute haben kein FTP-Zugriff!!!!!!!!

warum das eigentlich nicht?

Also nun ist wieder DENY sendmail:ALL
und ALLOW ist http-rman : ALL EXCEPT LOCAL

[floogy]

[...]Den xinetd müsstest Du mal näher untersuchen.
In die /etc/hosts /etc/hosts.allow und /etc/hosts.deny schauen. In letzterer sollte einfach ALL:ALL stehen, alles weitere wird in der /etc/hosts.allow erlaubt. Dort sollte ausschließlich sshd erlaubt sein (Es könnte noch vsftp für plesk oder confixx nötig sein, bitte informiere Dich da anderweitig, da ich davon keine Ahnung habe).

[handeglo]

Vielen Dank ich gib mein bestes ....

Danke euch

[floogy]

Code: Select all

egrep -v '#|^ *$' /etc/xinetd.conf

zeigt Dir die Konfiguration des xinetd an. Gegebenenfalls /etc/inetd.conf.

Code: Select all

man xinetd

http://www.selflinux.org/selflinux/html/xinetd03.html