Hallo ML, ich glaube ich bin Opfer eines DOS auf einen unserer Webserver geworden. Im error_log vom httpd steht u.a.: "[Sat Apr 23 15:19:02 2011] [error] server reached MaxClients setting, consider raising the MaxClients setting". MaxClients steht auf 150. Der Server hat normalerweise nicht viele Anfragen. netstat -anp zeigt u.a.: tcp 133 0 146.107.x.x:80 146.107.135.80:3134 CLOSE_WAIT - tcp 133 0 146.107.x.x:80 146.107.135.80:3370 CLOSE_WAIT - tcp 133 0 146.107.x.x:80 146.107.135.80:3102 CLOSE_WAIT - tcp 133 0 146.107.x.x:80 146.107.135.80:3351 CLOSE_WAIT - tcp 133 0 146.107.x.x:80 146.107.135.80:3083 CLOSE_WAIT - tcp 133 0 146.107.x.x:80 146.107.135.80:3333 CLOSE_WAIT - tcp 133 0 146.107.x.x:80 146.107.135.80:3170 CLOSE_WAIT - tcp 133 0 146.107.x.x:80 146.107.135.80:3152 CLOSE_WAIT - tcp 133 0 146.107.x.x:80 146.107.135.80:3393 CLOSE_WAIT - tcp 133 0 146.107.x.x:80 146.107.135.80:3247 CLOSE_WAIT - tcp 133 0 146.107.x.x:80 146.107.135.80:3218 CLOSE_WAIT - tcp 133 0 146.107.x.x:80 146.107.135.80:3059 CLOSE_WAIT - tcp 133 0 146.107.x.x:80 146.107.135.80:3312 CLOSE_WAIT - tcp 133 0 146.107.x.x:80 146.107.135.80:3293 CLOSE_WAIT - tcp 133 0 146.107.x.x:80 146.107.135.80:3030 CLOSE_WAIT - tcp 133 0 146.107.x.x:80 146.107.135.80:3269 CLOSE_WAIT - Die IP 146.107.135.80 ist eine interne, auf der ein Monitoringtool (ServerAlive) läuft. Das Tool setzte ich seit Jahren ohne Probleme ein. Kann es sein, daß ein DOS durchgeführt wurde und anschließend alle Anfragen des Monitoringtools nicht mehr bearbeitet wurden ? Das Tool fängt nämlich wenige Minuten nach dem o.g. Eintrag im error_log an zu meckern, daß es den Webserver nicht mehr erreicht. top ist auch seltsam: top - 13:17:45 up 25 days, 23:40, 4 users, load average: 155.00, 155.01, 155.03 Tasks: 587 total, 1 running, 586 sleeping, 0 stopped, 0 zombie Cpu(s): 0.2% us, 0.3% sy, 0.0% ni, 0.0% id, 99.5% wa, 0.0% hi, 0.0% si Mem: 2075564k total, 1802740k used, 272824k free, 130936k buffers Swap: 1028152k total, 0k used, 1028152k free, 914700k cached PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND 12820 root 17 0 2028 1236 1540 R 1.0 0.1 0:00.23 top 1 root 16 0 588 240 444 S 0.0 0.0 0:22.23 init 2 root RT 0 0 0 0 S 0.0 0.0 0:00.00 migration/0 3 root 34 19 0 0 0 S 0.0 0.0 0:00.22 ksoftirqd/0 ... Ich habe eine sehr hohe load average, und die meisten Prozesse warten auf IO (99,5% wa). Es frißt kein Prozess ungewöhnlich viel CPU. Die LED von der Festplatte flackert kaum, und der Server reagiert auch ganz normal. Es laufen noch 150 httpd-Prozesse (und der root-Prozesses, der Port 80 öffnet). Die Ausgaben von top, ps und netstat habe ich von einer CD, die ich im entsprechenden Server gemountet ist, in einer neuen shell gestartet und die statisch gelinkt sind. Von daher traue ich diesen Ausgaben. Was denkt Ihr ? War das ein DOS ? Was kann ich zukünftig dagegen tun ? Bernd -- Bernd Lentes Systemadministration Institut für Entwicklungsgenetik HelmholtzZentrum münchen bernd.lentes@helmholtz-muenchen.de phone: +49 89 3187 1241 fax: +49 89 3187 3826 http://www.helmholtz-muenchen.de/idg Führung bedeutet, die Anderen groß zu machen und sich selbst klein Helmholtz Zentrum München Deutsches Forschungszentrum für Gesundheit und Umwelt (GmbH) Ingolstädter Landstr. 1 85764 Neuherberg www.helmholtz-muenchen.de Aufsichtsratsvorsitzende: MinDir´in Bärbel Brumme-Bothe Geschäftsführer: Prof. Dr. Günther Wess und Dr. Nikolaus Blum Registergericht: Amtsgericht München HRB 6466 USt-IdNr: DE 129521671 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org