Am Montag 08 März 2010 17:16:42 schrieb David Haller:
Hallo,
Am Mon, 08 Mär 2010, Al Bogner schrieb:
Am Montag 08 März 2010 10:53:34 schrieb Axel Birndt:
David Haller schrieb:
Am Son, 07 Mär 2010, Al Bogner schrieb:
httpd2-pr 4901 wwwrun 8u IPv4 21840776 0t0 TCP vps5.vz6.ramhost.us:http->61.135.249.209:58729 (ESTABLISHED)
Der Zielhost ist leicht verdächtig.
Leicht verdächtig ist gut...
[..]
Wenn einer der Hosts mit dieser IP auf meinem Server "rum randalieren" würde, dann wäre dann ein Kanditat für Deny Hosts... und Tschüß!
Erklärt mir bitte, was das bedeutet. Ist der Server gehackt?
Bisher hoffentlich noch nicht. Aber ich vermute mal fast, daß von dort quasi ein DoS läuft bzw. Versuche die Kiste zu hacken. Oder auch sonstwas was bei dem Hoster läuft ...
Also zur Zeit sieht alles normal aus. Die Webseiten sind alle schnell da. Keine Probleme.
Was sagt denn 'netstat -tup'?
Ob das zur Zeit aussagefähig ist? netstat -tup Aktive Internetverbindungen (ohne Server) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 vps8.vz6.ramhost.:socks 60.211.255.238:46713 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ens:workflow SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ensch1.:4079 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ensch:pscupd SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ensch1:ewdgs SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ensch1.:4803 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks 91.214.128.22:52833 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ensc:bts-x73 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks 91.214.128.22:55742 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ens:bv-agent SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b:sentinel-ent SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ensch1.:4208 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks 123.117.22.35:37961 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks ip-212-117-183-12:34745 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks 75.127.112.130:60798 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ensc:cardbox SYN_RECV - tcp 0 0 vps1.vz6.ramho:www-http h-97-179.scoutjet:29320 SYN_RECV - tcp 0 0 vps1.vz6.ramho:www-http h-97-179.scoutjet:29320 SYN_RECV - tcp 0 0 server01.d32av:www-http 58.186.198.23:37469 SYN_RECV - tcp 0 0 vps5.vz6.ramho:www-http b3090823.crawl.ya:42947 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http baiduspider-119:bts-x73 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http 61.135.249.209:8248 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http 85-127-55-167.dyn:51305 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http b3090823.crawl.ya:42389 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http 61.135.249.209:63495 TIME_WAIT - tcp 0 144 vps5.vz6.ramhost.us:ssh 85-127-55-167.:allpeers VERBUNDEN 22990/0 tcp 0 0 vps5.vz6.ramho:www-http b3090823.crawl.ya:42541 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http baiduspider-119-63:4380 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http crawl-66-249-71-1:47142 VERBUNDEN - tcp 0 0 vps5.vz6.ramho:www-http 61.135.249.209:41241 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http crawl-10c.cuil.co:58492 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http 61.135.249.209:49523 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http crawl-66-249-71-2:36459 VERBUNDEN - tcp 0 0 vps5.vz6.ramho:www-http b3090823.crawl.ya:42238 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http b3090823.crawl.ya:42027 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http b3090823.crawl.ya:42712 TIME_WAIT
Wieviele offene Verbindungen gibt's da? Und auf was ist MaxClients in der httpd.conf gesetzt?
Da gibt es keinen "MaxClients"-Eintrag nur in /etc/apache2/server-tuning.conf Ich habe nun von 10 auf 100 erhöht. Vorsichtshalber wurde auch neu gestartet.
Und kontaktiere den Hoster, AFAIK kümmert der sich ja eigentlich um sowas. Bei Übersetzungsproblemen etc.: Frag mich, ggfs. per CC.
ramhost ist _sehr_ nett. Es wird schon längere Zeit gerätselt, was da los ist. Erst in den letzten Tagen ging es einen ganzen Tag fast gar nicht, also ssh und Web. Normalerweise half ein Neustart und es lief wieder für viele Tage. Ich prüfe alle 15 Minuten in dem ich eine kleine Datei von verschiedenen Domains runterlade, insofern fallen mir gröbere Probleme rasch auf. Nachdem ich auf einen anderen Host übersiedle, schaue ich mal wie es dort funktioniert. Da fehlt zur Zeit nur eine minimale Suse, sonst hätte ich da schon getestet.
Denyhosts läuft und wirft nicht authorisierte ssh Logins nach _1_ falschen PW raus, da nur Key-Identifizierung erlaubt ist.
Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org