Webserver funktioniert nicht mehr - wo suchen?
Ich habe einen VPS (virtueller privater Server) und habe längere Zeit nichts geändert. In letzter Zeit funktioniert immer weniger. Ging der Webserver nach einem Reboot des VPS wieder ein paar Stunden, nützt ein reboot nun auch nichts mehr. Allerdings komme ich nach einem Neustart wenigstens wieder per ssh auf den Rechner. Ssh geht nach einiger Zeit auch nicht mehr. Angefangen hat alles damit, dass 1 Konqueror-Fenster mit fish:// möglich war, vielleicht danach noch auf einen Ordner klicken, aber nochmals tiefer gehen führte zu einem Timeout. /etc/init.d/apache2 status Checking for httpd2: running Gerade ging es wieder, aber sehr langsam. lynx http://localhost brauchte am VPS 5 Minuten. Irgendwelche Ideen? Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Al Bogner schrieb:
Ich habe einen VPS (virtueller privater Server) und habe längere Zeit nichts geändert. In letzter Zeit funktioniert immer weniger. Ging der Webserver nach einem Reboot des VPS wieder ein paar Stunden, nützt ein reboot nun auch nichts mehr. Allerdings komme ich nach einem Neustart wenigstens wieder per ssh auf den Rechner. Ssh geht nach einiger Zeit auch nicht mehr.
Angefangen hat alles damit, dass 1 Konqueror-Fenster mit fish:// möglich war, vielleicht danach noch auf einen Ordner klicken, aber nochmals tiefer gehen führte zu einem Timeout.
/etc/init.d/apache2 status Checking for httpd2: running
Gerade ging es wieder, aber sehr langsam.
lynx http://localhost brauchte am VPS 5 Minuten.
Irgendwelche Ideen?
Was sagt den /var/log/messages und /var/log/apache2/error_log ? Mach doch mal top, um zu sehen, ob da irgendwas Ressource frisst. Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Sonntag 07 März 2010 16:19:46 schrieb Lentes, Bernd:
Al Bogner schrieb:
Ich habe einen VPS (virtueller privater Server) und habe längere Zeit nichts geändert. In letzter Zeit funktioniert immer weniger. Ging der Webserver nach einem Reboot des VPS wieder ein paar Stunden, nützt ein reboot nun auch nichts mehr. Allerdings komme ich nach einem Neustart wenigstens wieder per ssh auf den Rechner. Ssh geht nach einiger Zeit auch nicht mehr.
Angefangen hat alles damit, dass 1 Konqueror-Fenster mit fish:// möglich war, vielleicht danach noch auf einen Ordner klicken, aber nochmals tiefer gehen führte zu einem Timeout.
/etc/init.d/apache2 status Checking for httpd2: running
Gerade ging es wieder, aber sehr langsam.
lynx http://localhost brauchte am VPS 5 Minuten.
Irgendwelche Ideen?
Was sagt den /var/log/messages und /var/log/apache2/error_log ? Mach doch mal top, um zu sehen, ob da irgendwas Ressource frisst.
cat /var/log/messages | grep -i error Mar 7 13:25:45 vps5 SuSEfirewall2: Error: iptables-batch failed, re-running using iptables apache2/error_log bringt einige php-Fehler von der Menalto-Gallerie. Ich denke, die kann man ignorieren. Ich schreibe mal das auf, dass vielleicht von Bedeutung ist server reached MaxClients setting, consider raising the MaxClients setting Apache/2.2.10 (Linux/SUSE) PHP/5.2.12 with Suhosin-Patch configured -- resuming normal operations PHP Warning: PHP Startup: mm_create(0, /var/lib/php5/session_mm_apache2handler0) failed, err mm:core: failed to acquire shared memory segment (Invalid argument) in Unknown on line 0 PHP Fatal error: fatal flex scanner internal error--end of buffer missed in Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Sonntag, 7. März 2010 15:44:55 schrieb Al Bogner:
Ich habe einen VPS (virtueller privater Server) und habe längere Zeit nichts geändert. In letzter Zeit funktioniert immer weniger. Ging der Webserver nach einem Reboot des VPS wieder ein paar Stunden, nützt ein reboot nun auch nichts mehr. Allerdings komme ich nach einem Neustart wenigstens wieder per ssh auf den Rechner. Ssh geht nach einiger Zeit auch nicht mehr.
Was genau heißt "Webserver funktioniert nicht mehr"? Heißt das, Apache ist abgestürzt und tot? Oder heißt das, Apache läuft noch, reagiert aber mit großer Verzögerung oder scheint zu hängen? Deine Beschreibung klingt mir eher nach Überlastung als nach Absturz. Ein falsch programmiertes PHP-Skript kann den Laden ziemlich lahmlegen. Ebenfalls möglich: Der Server wurde gehackt und arbeitet mit hoher Priorität das ab, was dir da jemand eingebaut hat. Ein Aufruf von top könnte da weiterhelfen. Ich habe mal einen gehackten Server gesehen, auf dem ein Perl-Skript mit hoher Priorität Spam verbreitet hat. Der Server war technisch völlig in Ordnung, aber durch den Spamversand praktisch nicht mehr ansprechbar. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Sonntag 07 März 2010 17:02:32 schrieb Juergen Langowski:
Am Sonntag, 7. März 2010 15:44:55 schrieb Al Bogner:
Ich habe einen VPS (virtueller privater Server) und habe längere Zeit nichts geändert. In letzter Zeit funktioniert immer weniger. Ging der Webserver nach einem Reboot des VPS wieder ein paar Stunden, nützt ein reboot nun auch nichts mehr. Allerdings komme ich nach einem Neustart wenigstens wieder per ssh auf den Rechner. Ssh geht nach einiger Zeit auch nicht mehr.
Was genau heißt "Webserver funktioniert nicht mehr"? Heißt das, Apache ist abgestürzt und tot?
/etc/init.d/apache2 status Checking for httpd2: running
Oder heißt das, Apache läuft noch, reagiert aber mit großer Verzögerung oder scheint zu hängen?
Das
Deine Beschreibung klingt mir eher nach Überlastung als nach Absturz. Ein falsch programmiertes PHP-Skript kann den Laden ziemlich lahmlegen.
Top meint load und cpu ist bei etwa 0 Auch eine simple Text Test-Seite dauert ewig. 2832 root 20 0 22768 7180 3652 S 0 0.9 0:00.22 httpd2-prefork 2833 wwwrun 20 0 44540 25m 5396 S 0 3.4 0:28.32 httpd2-prefork 2834 wwwrun 20 0 37376 19m 5224 S 0 2.6 0:19.28 httpd2-prefork 2835 wwwrun 20 0 39500 21m 5140 S 0 2.8 0:20.04 httpd2-prefork 2836 wwwrun 20 0 40284 21m 5504 S 0 2.9 0:30.10 httpd2-prefork Ich verstehe nicht warum da auch was als user root läuft. Die Rechte sind default.
Ebenfalls möglich: Der Server wurde gehackt und arbeitet mit hoher Priorität das ab, was dir da jemand eingebaut hat. Ein Aufruf von top könnte da weiterhelfen.
Lt. top langweilt sich der Rechner uname -r 2.6.26-2-openvz-amd64
Ich habe mal einen gehackten Server gesehen, auf dem ein Perl-Skript mit hoher Priorität Spam verbreitet hat. Der Server war technisch völlig in Ordnung, aber durch den Spamversand praktisch nicht mehr ansprechbar.
Daran denke ich auch, aber warum dann top nichts anzeigt? Kannst ja mal probieren die "Dummy-Seite" pinguin.uni.cc aufzurufen. Das ist eine reine Email-Domain. Bei mir war sie nach 5 Minuten da. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Sonntag, 7. März 2010 17:31:42 schrieb Al Bogner: (...)
Top meint load und cpu ist bei etwa 0
Auch eine simple Text Test-Seite dauert ewig.
2832 root 20 0 22768 7180 3652 S 0 0.9 0:00.22 httpd2-prefork 2833 wwwrun 20 0 44540 25m 5396 S 0 3.4 0:28.32 httpd2-prefork 2834 wwwrun 20 0 37376 19m 5224 S 0 2.6 0:19.28 httpd2-prefork 2835 wwwrun 20 0 39500 21m 5140 S 0 2.8 0:20.04 httpd2-prefork 2836 wwwrun 20 0 40284 21m 5504 S 0 2.9 0:30.10 httpd2-prefork
Ich verstehe nicht warum da auch was als user root läuft. Die Rechte sind default.
Das ist tatsächlich merkwürdig. Du könntest mal versuchen, den root- Prozess von Hand zu beenden. Läuft Apache dann wieder schneller? Hast du mal versucht, Apache von Hand abzuschalten und neu zu starten? Was passiert dann? Lass Apache vielleicht mal eine Weile abgeschaltet. Läuft ssh dann die ganze Zeit problemlos? Wird ssh langsam, wenn Apache danach wieder läuft? Was macht der root-Prozess? Erscheint er beim händischen Neustart wieder? Oder nur beim Systemstart? Versuch auch mal lsof | grep -i "httpd" und sieh dir die Liste genau an. Irgendwelche merkwürdigen Zugriffe? Eine andere Möglichkeit: Es ist ja offenbar ein virtueller Server. Vielleicht spielt ein Nachbar auf der Maschine verrückt. Vielleicht bringt dich eine meiner Ideen ja auf eine Spur. Jürgen -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Sonntag 07 März 2010 18:13:35 schrieb Juergen Langowski:
Am Sonntag, 7. März 2010 17:31:42 schrieb Al Bogner:
(...)
Top meint load und cpu ist bei etwa 0
Auch eine simple Text Test-Seite dauert ewig.
2832 root 20 0 22768 7180 3652 S 0 0.9 0:00.22 httpd2-prefork 2833 wwwrun 20 0 44540 25m 5396 S 0 3.4 0:28.32 httpd2-prefork 2834 wwwrun 20 0 37376 19m 5224 S 0 2.6 0:19.28 httpd2-prefork 2835 wwwrun 20 0 39500 21m 5140 S 0 2.8 0:20.04 httpd2-prefork 2836 wwwrun 20 0 40284 21m 5504 S 0 2.9 0:30.10 httpd2-prefork
Ich verstehe nicht warum da auch was als user root läuft. Die Rechte sind default.
Das ist tatsächlich merkwürdig. Du könntest mal versuchen, den root- Prozess von Hand zu beenden. Läuft Apache dann wieder schneller?
Du meinst /etc/init.d/apache2 restart ? Das habe ich schon öfter probiert, ist auch kein Wundermittel. Am ehesten half, VPS runterfahren, warten neu starten.
Hast du mal versucht, Apache von Hand abzuschalten und neu zu starten? Was passiert dann?
/etc/init.d/apache2 restart
Syntax OK
Shutting down httpd2 (waiting for all children to terminate) done
Starting httpd2 (prefork) done
Da gab es nie Fehlermeldungen.
Schon wieder 2 User:
4737 root 20 0 22768 7180 3652 S 0 0.9 0:00.04 httpd2-prefork
4738 wwwrun 20 0 28908 12m 3960 S 0 1.7 0:00.38 httpd2-prefork
etc/init.d/apache2 stop
Shutting down httpd2 (waiting for all children to terminate) done
ps ax
PID TTY STAT TIME COMMAND
1 ? Ss 0:00 init [3]
64 ? S Lass Apache vielleicht mal eine Weile abgeschaltet. Läuft
ssh dann die ganze Zeit problemlos?
Seit dem Thread komme ich via ssh immer rein.
Wird ssh langsam, wenn Apache danach wieder läuft? Was macht der root-Prozess? Erscheint er beim händischen Neustart wieder? Oder nur beim Systemstart?
Versuch auch mal
lsof | grep -i "httpd"
Da kommt nichts lsof | grep -i "httpd" Ich aktiviere den Apache wieder /etc/init.d/apache2 start Starting httpd2 (prefork) done lsof | grep -i "httpd" httpd2-pr 4891 root cwd DIR 0,40 4096 15820997 / httpd2-pr 4891 root rtd DIR 0,40 4096 15820997 / httpd2-pr 4891 root txt REG 0,40 392576 19530991 /usr/sbin/httpd2-prefork httpd2-pr 4891 root 0r CHR 1,3 0t0 21242098 /dev/null httpd2-pr 4891 root 1w CHR 1,3 0t0 21242098 /dev/null httpd2-pr 4891 root 2w REG 0,40 984902 15926170 /var/log/apache2/error_log httpd2-pr 4891 root 3u IPv4 21838998 0t0 TCP *:http (LISTEN) httpd2-pr 4891 root 4r FIFO 0,6 0t0 21839241 pipe httpd2-pr 4891 root 5w FIFO 0,6 0t0 21839241 pipe httpd2-pr 4891 root 6w REG 0,40 2552100 15928457 /var/log/apache2/access_log httpd2-pr 4892 wwwrun cwd DIR 0,40 4096 15820997 / httpd2-pr 4892 wwwrun rtd DIR 0,40 4096 15820997 / httpd2-pr 4892 wwwrun txt REG 0,40 392576 19530991 /usr/sbin/httpd2-prefork httpd2-pr 4892 wwwrun 0r CHR 1,3 0t0 21242098 /dev/null httpd2-pr 4892 wwwrun 1w CHR 1,3 0t0 21242098 /dev/null httpd2-pr 4892 wwwrun 2w REG 0,40 984902 15926170 /var/log/apache2/error_log httpd2-pr 4892 wwwrun 3u IPv4 21838998 0t0 TCP *:http (LISTEN) httpd2-pr 4892 wwwrun 4r FIFO 0,6 0t0 21839241 pipe httpd2-pr 4892 wwwrun 5w FIFO 0,6 0t0 21839241 pipe httpd2-pr 4892 wwwrun 6w REG 0,40 2552100 15928457 /var/log/apache2/access_log httpd2-pr 4892 wwwrun 7u 0000 0,7 0 13 anon_inode httpd2-pr 4893 wwwrun cwd DIR 0,40 4096 15820997 / httpd2-pr 4893 wwwrun rtd DIR 0,40 4096 15820997 / httpd2-pr 4893 wwwrun txt REG 0,40 392576 19530991 /usr/sbin/httpd2-prefork httpd2-pr 4893 wwwrun 0r CHR 1,3 0t0 21242098 /dev/null httpd2-pr 4893 wwwrun 1w CHR 1,3 0t0 21242098 /dev/null httpd2-pr 4893 wwwrun 2w REG 0,40 984902 15926170 /var/log/apache2/error_log httpd2-pr 4893 wwwrun 3u IPv4 21838998 0t0 TCP *:http (LISTEN) httpd2-pr 4893 wwwrun 4r FIFO 0,6 0t0 21839241 pipe httpd2-pr 4893 wwwrun 5w FIFO 0,6 0t0 21839241 pipe httpd2-pr 4893 wwwrun 6w REG 0,40 2552100 15928457 /var/log/apache2/access_log httpd2-pr 4893 wwwrun 7u 0000 0,7 0 13 anon_inode httpd2-pr 4894 wwwrun cwd DIR 0,40 4096 15820997 / httpd2-pr 4894 wwwrun rtd DIR 0,40 4096 15820997 / httpd2-pr 4894 wwwrun txt REG 0,40 392576 19530991 /usr/sbin/httpd2-prefork httpd2-pr 4894 wwwrun 0r CHR 1,3 0t0 21242098 /dev/null httpd2-pr 4894 wwwrun 1w CHR 1,3 0t0 21242098 /dev/null httpd2-pr 4894 wwwrun 2w REG 0,40 984902 15926170 /var/log/apache2/error_log httpd2-pr 4894 wwwrun 3u IPv4 21838998 0t0 TCP *:http (LISTEN) httpd2-pr 4894 wwwrun 4r FIFO 0,6 0t0 21839241 pipe httpd2-pr 4894 wwwrun 5w FIFO 0,6 0t0 21839241 pipe httpd2-pr 4894 wwwrun 6w REG 0,40 2552100 15928457 /var/log/apache2/access_log httpd2-pr 4894 wwwrun 7u 0000 0,7 0 13 anon_inode httpd2-pr 4901 wwwrun cwd DIR 0,40 4096 15820997 / httpd2-pr 4901 wwwrun rtd DIR 0,40 4096 15820997 / httpd2-pr 4901 wwwrun txt REG 0,40 392576 19530991 /usr/sbin/httpd2-prefork httpd2-pr 4901 wwwrun 0r CHR 1,3 0t0 21242098 /dev/null httpd2-pr 4901 wwwrun 1w CHR 1,3 0t0 21242098 /dev/null httpd2-pr 4901 wwwrun 2w REG 0,40 984902 15926170 /var/log/apache2/error_log httpd2-pr 4901 wwwrun 3u IPv4 21838998 0t0 TCP *:http (LISTEN) httpd2-pr 4901 wwwrun 4r FIFO 0,6 0t0 21839241 pipe httpd2-pr 4901 wwwrun 5w FIFO 0,6 0t0 21839241 pipe httpd2-pr 4901 wwwrun 6w REG 0,40 2552100 15928457 /var/log/apache2/access_log httpd2-pr 4901 wwwrun 7u 0000 0,7 0 13 anon_inode httpd2-pr 4901 wwwrun 8u IPv4 21840776 0t0 TCP vps5.vz6.ramhost.us:http->61.135.249.209:58729 (ESTABLISHED) httpd2-pr 4903 wwwrun cwd DIR 0,40 4096 15820997 / httpd2-pr 4903 wwwrun rtd DIR 0,40 4096 15820997 / httpd2-pr 4903 wwwrun txt REG 0,40 392576 19530991 /usr/sbin/httpd2-prefork httpd2-pr 4903 wwwrun 0r CHR 1,3 0t0 21242098 /dev/null httpd2-pr 4903 wwwrun 1w CHR 1,3 0t0 21242098 /dev/null httpd2-pr 4903 wwwrun 2w REG 0,40 984902 15926170 /var/log/apache2/error_log httpd2-pr 4903 wwwrun 3u IPv4 21838998 0t0 TCP *:http (LISTEN) httpd2-pr 4903 wwwrun 4r FIFO 0,6 0t0 21839241 pipe httpd2-pr 4903 wwwrun 5w FIFO 0,6 0t0 21839241 pipe httpd2-pr 4903 wwwrun 6w REG 0,40 2552100 15928457 /var/log/apache2/access_log httpd2-pr 4903 wwwrun 7u 0000 0,7 0 13 anon_inode httpd2-pr 4923 wwwrun cwd DIR 0,40 4096 15820997 / httpd2-pr 4923 wwwrun rtd DIR 0,40 4096 15820997 / httpd2-pr 4923 wwwrun txt REG 0,40 392576 19530991 /usr/sbin/httpd2-prefork httpd2-pr 4923 wwwrun 0r CHR 1,3 0t0 21242098 /dev/null httpd2-pr 4923 wwwrun 1w CHR 1,3 0t0 21242098 /dev/null httpd2-pr 4923 wwwrun 2w REG 0,40 984902 15926170 /var/log/apache2/error_log httpd2-pr 4923 wwwrun 3u IPv4 21838998 0t0 TCP *:http (LISTEN) httpd2-pr 4923 wwwrun 4r FIFO 0,6 0t0 21839241 pipe httpd2-pr 4923 wwwrun 5w FIFO 0,6 0t0 21839241 pipe httpd2-pr 4923 wwwrun 6w REG 0,40 2552100 15928457 /var/log/apache2/access_log httpd2-pr 4923 wwwrun 7u 0000 0,7 0 13 anon_inode
und sieh dir die Liste genau an. Irgendwelche merkwürdigen Zugriffe?
Eine andere Möglichkeit: Es ist ja offenbar ein virtueller Server. Vielleicht spielt ein Nachbar auf der Maschine verrückt.
Ich diskutiere das mit dem Support schon einige Zeit. Der meint es ist alles ok. Was ist denn damit gemeint bzw. wo ändert man das: server reached MaxClients setting, consider raising the MaxClients setting Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Son, 07 Mär 2010, Al Bogner schrieb:
httpd2-pr 4901 wwwrun 8u IPv4 21840776 0t0 TCP vps5.vz6.ramhost.us:http->61.135.249.209:58729 (ESTABLISHED)
Der Zielhost ist leicht verdächtig.
server reached MaxClients setting, consider raising the MaxClients setting
MaxClients legt fest, wieviele Verbindungen der Apache gleichzeitig aufmachen darf. Und wenn die voll sind gibt's halt Fehler (bzw. keine Verbindung). Bis du irgendwann Glück hast und einen der "Slots" erwischst. -dnh -- "I can't go on meeting you like this. One of your faux pas seems to have wounded me deeply... in fact, I'm barely conscious. Please fix it and try again." -- a TeX message -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
David Haller schrieb:
Hallo,
Am Son, 07 Mär 2010, Al Bogner schrieb:
httpd2-pr 4901 wwwrun 8u IPv4 21840776 0t0 TCP vps5.vz6.ramhost.us:http->61.135.249.209:58729 (ESTABLISHED)
Der Zielhost ist leicht verdächtig.
Leicht verdächtig ist gut... ~$ whois 61.135.249.209 % [whois.apnic.net node-1] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 61.135.0.0 - 61.135.255.255 netname: UNICOM-BJ descr: China Unicom Beijing province network descr: China Unicom country: CN admin-c: CH1302-AP tech-c: SY21-AP mnt-by: APNIC-HM mnt-lower: MAINT-CNCGROUP-BJ mnt-routes: MAINT-CNCGROUP-RR Wenn einer der Hosts mit dieser IP auf meinem Server "rum randalieren" würde, dann wäre dann ein Kanditat für Deny Hosts... und Tschüß! -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 08 März 2010 10:53:34 schrieb Axel Birndt:
David Haller schrieb:
Hallo,
Am Son, 07 Mär 2010, Al Bogner schrieb:
httpd2-pr 4901 wwwrun 8u IPv4 21840776 0t0 TCP vps5.vz6.ramhost.us:http->61.135.249.209:58729 (ESTABLISHED)
Der Zielhost ist leicht verdächtig.
Leicht verdächtig ist gut...
~$ whois 61.135.249.209 % [whois.apnic.net node-1] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 61.135.0.0 - 61.135.255.255 netname: UNICOM-BJ descr: China Unicom Beijing province network descr: China Unicom country: CN admin-c: CH1302-AP tech-c: SY21-AP mnt-by: APNIC-HM mnt-lower: MAINT-CNCGROUP-BJ mnt-routes: MAINT-CNCGROUP-RR
Wenn einer der Hosts mit dieser IP auf meinem Server "rum randalieren" würde, dann wäre dann ein Kanditat für Deny Hosts... und Tschüß!
Erklärt mir bitte, was das bedeutet. Ist der Server gehackt? Denyhosts läuft und wirft nicht authorisierte ssh Logins nach _1_ falschen PW raus, da nur Key-Identifizierung erlaubt ist. BTW, ich wechsle den Host und setze neu auf. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi Al, Al Bogner schrieb:
Am Montag 08 März 2010 10:53:34 schrieb Axel Birndt:
David Haller schrieb:
Hallo,
Am Son, 07 Mär 2010, Al Bogner schrieb:
httpd2-pr 4901 wwwrun 8u IPv4 21840776 0t0 TCP vps5.vz6.ramhost.us:http->61.135.249.209:58729 (ESTABLISHED) Der Zielhost ist leicht verdächtig. Leicht verdächtig ist gut...
Erklärt mir bitte, was das bedeutet. Ist der Server gehackt? Denyhosts läuft und wirft nicht authorisierte ssh Logins nach _1_ falschen PW raus, da nur Key-Identifizierung erlaubt ist.
BTW, ich wechsle den Host und setze neu auf.
so wie ich den Thread mitbekommen habe, waren es wohl Zugriffe auf Deinen Server auf Port 80, zumindest wie der o.g. Logausschnitt zeigt. Ob du noch andere Zugriffe hast weiß ich nicht und kann daher keine Wertung abgeben (Du kannst einzelne Adresse auch in der .htaccess aussperren.) Ich pflege z.B. eine Liste der IP's die ich ausperre, weil diese bei mir auffällig geworden sind: deny from 77.91.224 deny from 83.211.1.24 deny from 85.17.173 deny from 85.17.211 deny from 174.133.177.66 deny from 93.174.95.160 -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Mon, 08 Mär 2010, Al Bogner schrieb:
Am Montag 08 März 2010 10:53:34 schrieb Axel Birndt:
David Haller schrieb:
Am Son, 07 Mär 2010, Al Bogner schrieb:
httpd2-pr 4901 wwwrun 8u IPv4 21840776 0t0 TCP vps5.vz6.ramhost.us:http->61.135.249.209:58729 (ESTABLISHED)
Der Zielhost ist leicht verdächtig.
Leicht verdächtig ist gut... [..] Wenn einer der Hosts mit dieser IP auf meinem Server "rum randalieren" würde, dann wäre dann ein Kanditat für Deny Hosts... und Tschüß!
Erklärt mir bitte, was das bedeutet. Ist der Server gehackt?
Bisher hoffentlich noch nicht. Aber ich vermute mal fast, daß von dort quasi ein DoS läuft bzw. Versuche die Kiste zu hacken. Oder auch sonstwas was bei dem Hoster läuft ... Was sagt denn 'netstat -tup'? Wieviele offene Verbindungen gibt's da? Und auf was ist MaxClients in der httpd.conf gesetzt? Und kontaktiere den Hoster, AFAIK kümmert der sich ja eigentlich um sowas. Bei Übersetzungsproblemen etc.: Frag mich, ggfs. per CC.
Denyhosts läuft und wirft nicht authorisierte ssh Logins nach _1_ falschen PW raus, da nur Key-Identifizierung erlaubt ist.
Andere Baustelle. -dnh -- So wie yast2 [auf der Konsole] zur Zeit aussieht, ist es das Outlook unter den Konsolenprogrammen: Nämlich die alleinseligmachende, fortgesetzte Normverletzung unter Vorgabe guter Motive. -- "ratti" in suse-linux -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 08 März 2010 17:16:42 schrieb David Haller:
Hallo,
Am Mon, 08 Mär 2010, Al Bogner schrieb:
Am Montag 08 März 2010 10:53:34 schrieb Axel Birndt:
David Haller schrieb:
Am Son, 07 Mär 2010, Al Bogner schrieb:
httpd2-pr 4901 wwwrun 8u IPv4 21840776 0t0 TCP vps5.vz6.ramhost.us:http->61.135.249.209:58729 (ESTABLISHED)
Der Zielhost ist leicht verdächtig.
Leicht verdächtig ist gut...
[..]
Wenn einer der Hosts mit dieser IP auf meinem Server "rum randalieren" würde, dann wäre dann ein Kanditat für Deny Hosts... und Tschüß!
Erklärt mir bitte, was das bedeutet. Ist der Server gehackt?
Bisher hoffentlich noch nicht. Aber ich vermute mal fast, daß von dort quasi ein DoS läuft bzw. Versuche die Kiste zu hacken. Oder auch sonstwas was bei dem Hoster läuft ...
Also zur Zeit sieht alles normal aus. Die Webseiten sind alle schnell da. Keine Probleme.
Was sagt denn 'netstat -tup'?
Ob das zur Zeit aussagefähig ist? netstat -tup Aktive Internetverbindungen (ohne Server) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 vps8.vz6.ramhost.:socks 60.211.255.238:46713 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ens:workflow SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ensch1.:4079 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ensch:pscupd SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ensch1:ewdgs SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ensch1.:4803 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks 91.214.128.22:52833 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ensc:bts-x73 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks 91.214.128.22:55742 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ens:bv-agent SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b:sentinel-ent SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ensch1.:4208 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks 123.117.22.35:37961 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks ip-212-117-183-12:34745 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks 75.127.112.130:60798 SYN_RECV - tcp 0 0 vps8.vz6.ramhost.:socks cc938090-b.ensc:cardbox SYN_RECV - tcp 0 0 vps1.vz6.ramho:www-http h-97-179.scoutjet:29320 SYN_RECV - tcp 0 0 vps1.vz6.ramho:www-http h-97-179.scoutjet:29320 SYN_RECV - tcp 0 0 server01.d32av:www-http 58.186.198.23:37469 SYN_RECV - tcp 0 0 vps5.vz6.ramho:www-http b3090823.crawl.ya:42947 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http baiduspider-119:bts-x73 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http 61.135.249.209:8248 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http 85-127-55-167.dyn:51305 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http b3090823.crawl.ya:42389 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http 61.135.249.209:63495 TIME_WAIT - tcp 0 144 vps5.vz6.ramhost.us:ssh 85-127-55-167.:allpeers VERBUNDEN 22990/0 tcp 0 0 vps5.vz6.ramho:www-http b3090823.crawl.ya:42541 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http baiduspider-119-63:4380 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http crawl-66-249-71-1:47142 VERBUNDEN - tcp 0 0 vps5.vz6.ramho:www-http 61.135.249.209:41241 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http crawl-10c.cuil.co:58492 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http 61.135.249.209:49523 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http crawl-66-249-71-2:36459 VERBUNDEN - tcp 0 0 vps5.vz6.ramho:www-http b3090823.crawl.ya:42238 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http b3090823.crawl.ya:42027 TIME_WAIT - tcp 0 0 vps5.vz6.ramho:www-http b3090823.crawl.ya:42712 TIME_WAIT
Wieviele offene Verbindungen gibt's da? Und auf was ist MaxClients in der httpd.conf gesetzt?
Da gibt es keinen "MaxClients"-Eintrag nur in /etc/apache2/server-tuning.conf Ich habe nun von 10 auf 100 erhöht. Vorsichtshalber wurde auch neu gestartet.
Und kontaktiere den Hoster, AFAIK kümmert der sich ja eigentlich um sowas. Bei Übersetzungsproblemen etc.: Frag mich, ggfs. per CC.
ramhost ist _sehr_ nett. Es wird schon längere Zeit gerätselt, was da los ist. Erst in den letzten Tagen ging es einen ganzen Tag fast gar nicht, also ssh und Web. Normalerweise half ein Neustart und es lief wieder für viele Tage. Ich prüfe alle 15 Minuten in dem ich eine kleine Datei von verschiedenen Domains runterlade, insofern fallen mir gröbere Probleme rasch auf. Nachdem ich auf einen anderen Host übersiedle, schaue ich mal wie es dort funktioniert. Da fehlt zur Zeit nur eine minimale Suse, sonst hätte ich da schon getestet.
Denyhosts läuft und wirft nicht authorisierte ssh Logins nach _1_ falschen PW raus, da nur Key-Identifizierung erlaubt ist.
Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 08 März 2010 18:14:28 schrieben Sie:
Am Montag 08 März 2010 17:16:42 schrieb David Haller:
Wieviele offene Verbindungen gibt's da? Und auf was ist MaxClients in der httpd.conf gesetzt?
Da gibt es keinen "MaxClients"-Eintrag
nur in /etc/apache2/server-tuning.conf
Ich habe MaxClients und ServerLimit auf 100 erhöht. Ist in dieser Conf etwas problematisch? /etc/apache2/server-tuning.conf <IfModule prefork.c> StartServers 2 MinSpareServers 3 MaxSpareServers 5 ServerLimit 100 MaxClients 100 MaxRequestsPerChild 10000 </IfModule> <IfModule worker.c> StartServers 1 MinSpareThreads 1 MaxSpareThreads 4 ThreadLimit 64 MaxClients 100 ThreadsPerChild 25 MaxRequestsPerChild 10000 </IfModule> KeepAlive On MaxKeepAliveRequests 100 KeepAliveTimeout 15 <IfModule mod_setenvif.c> BrowserMatch "Mozilla/2" nokeepalive BrowserMatch "MSIE 4\.0b2;" nokeepalive downgrade-1.0 force- response-1.0 BrowserMatch "RealPlayer 4\.0" force-response-1.0 BrowserMatch "Java/1\.0" force-response-1.0 BrowserMatch "JDK/1\.0" force-response-1.0 BrowserMatch "Microsoft Data Access Internet Publishing Provider" redirect-carefully BrowserMatch "^WebDrive" redirect-carefully BrowserMatch "^WebDAVFS/1.[012]" redirect-carefully BrowserMatch "^gnome-vfs" redirect-carefully Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Al Bogner schrieb:
Was ist denn damit gemeint bzw. wo ändert man das:
server reached MaxClients setting, consider raising the MaxClients setting
pc53200:~/.ssh # cd /etc/apache2/ pc53200:/etc/apache2 # grep -ir maxclients * server-tuning.conf: # highest possible MaxClients setting for the lifetime of the Apache process. server-tuning.conf: # http://httpd.apache.org/docs/2.2/mod/mpm_common.html#maxclients server-tuning.conf: MaxClients 150 server-tuning.conf: # http://httpd.apache.org/docs/2.2/mod/mpm_common.html#maxclients server-tuning.conf: MaxClients 150 Entweder hast Du eine sehr viel besuchte Webseite, oder irgendwas stimmt nicht. Schau Dir die Bedeutung von maxclients bitte auf der Apache-Seite an. Und mach mal ein netstat -anp|less, wenn der Webserver läuft, und poste das mal hier. Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 08 März 2010 10:44:20 schrieb Lentes, Bernd:
Al Bogner schrieb:
Was ist denn damit gemeint bzw. wo ändert man das:
server reached MaxClients setting, consider raising the MaxClients setting
pc53200:~/.ssh # cd /etc/apache2/
pc53200:/etc/apache2 # grep -ir maxclients * server-tuning.conf: # highest possible MaxClients setting for the lifetime of the Apache process. server-tuning.conf: # http://httpd.apache.org/docs/2.2/mod/mpm_common.html#maxclients server-tuning.conf: MaxClients 150 server-tuning.conf: # http://httpd.apache.org/docs/2.2/mod/mpm_common.html#maxclients server-tuning.conf: MaxClients 150
/etc/apache2/server-tuning.conf: # highest possible MaxClients setting for the lifetime of the Apache process. /etc/apache2/server-tuning.conf: # http://httpd.apache.org/docs/2.2/mod/mpm_common.html#maxclients /etc/apache2/server-tuning.conf: MaxClients 10 /etc/apache2/server-tuning.conf: # http://httpd.apache.org/docs/2.2/mod/mpm_common.html#maxclients /etc/apache2/server-tuning.conf: MaxClients 10
Entweder hast Du eine sehr viel besuchte Webseite, oder irgendwas stimmt nicht. Schau Dir die Bedeutung von maxclients bitte auf der Apache-Seite an. Und mach mal ein netstat -anp|less, wenn der Webserver läuft, und poste das mal hier.
Aktive Internetverbindungen (Server und stehende Verbindungen) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1470/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1554/master tcp 0 0 69.197.162.42:1080 69.199.176.194:1712 SYN_RECV - tcp 0 0 69.197.162.42:1080 89.149.244.72:3605 SYN_RECV - tcp 0 0 69.197.162.42:1080 89.222.196.103:59592 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:3794 SYN_RECV - tcp 0 0 69.197.162.42:1080 212.95.54.181:3979 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4400 SYN_RECV - tcp 0 0 69.197.162.42:1080 60.211.255.238:26906 SYN_RECV - tcp 0 0 69.197.162.42:1080 212.117.183.125:55861 SYN_RECV - tcp 0 0 69.197.162.42:1080 87.195.67.12:39323 SYN_RECV - tcp 0 0 69.197.162.42:1080 69.31.80.58:65439 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4449 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4046 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4353 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4102 SYN_RECV - tcp 0 0 69.197.162.42:1080 74.105.92.219:9120 SYN_RECV - tcp 0 0 69.197.162.42:1080 89.149.242.221:37765 SYN_RECV - tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 1214/mysqld tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 12909/httpd2-prefor tcp 0 0 69.197.162.39:80 119.63.198.87:64484 VERBUNDEN 12941/httpd2-prefor tcp 0 0 69.197.162.39:80 119.63.198.113:63300 TIME_WAIT - tcp 0 0 69.197.162.39:80 216.129.119.40:51162 TIME_WAIT - tcp 0 0 69.197.162.39:80 67.218.116.134:56676 TIME_WAIT - tcp 0 0 69.197.162.39:80 216.129.119.42:46019 TIME_WAIT - tcp 0 0 69.197.162.39:80 67.218.116.165:41755 TIME_WAIT - tcp 0 0 69.197.162.39:80 216.129.119.11:47101 TIME_WAIT - tcp 0 0 69.197.162.39:80 216.129.119.13:50673 TIME_WAIT - tcp 0 0 69.197.162.39:22 85.127.55.167:38150 VERBUNDEN 12753/0 tcp 0 11585 69.197.162.39:80 67.195.111.33:50003 LAST_ACK - tcp 0 48 69.197.162.39:22 85.127.55.167:38163 VERBUNDEN 12795/1 tcp 0 0 :::22 :::* LISTEN 1470/sshd tcp 0 0 ::1:25 :::* LISTEN 1554/master Aktive Sockets in der UNIX Domäne (Server und stehende Verbindungen) Proto RefZäh Flaggen Typ Zustand I-Node PID/Program name Pfad unix 2 [ ACC ] STREAM HÖRT 21246373 1554/master private/ifmail unix 2 [ ACC ] STREAM HÖRT 21246377 1554/master private/bsmtp unix 2 [ ACC ] STREAM HÖRT 21246381 1554/master private/procmail unix 2 [ ACC ] STREAM HÖRT 21246385 1554/master private/retry unix 2 [ ACC ] STREAM HÖRT 21246389 1554/master private/proxywrite unix 2 [ ACC ] STREAM HÖRT 21245021 1214/mysqld /var/lib/mysql/mysql.sock unix 2 [ ACC ] STREAM HÖRT 21243618 570/hald @/var/run/hald/dbus-ghZCQTPA44 unix 2 [ ] DGRAM 21244900 1137/rsyslogd /var/lib/named/dev/log unix 2 [ ] DGRAM 21242654 64/udevd @/org/kernel/udev/udevd unix 2 [ ACC ] STREAM HÖRT 21243599 540/dbus-daemon /var/run/dbus/system_bus_socket unix 2 [ ] DGRAM 21243725 570/hald @/org/freedesktop/hal/udev_event unix 2 [ ACC ] STREAM HÖRT 21243634 570/hald @/var/run/hald/dbus-STkgdRikBJ unix 5 [ ] DGRAM 21244898 1137/rsyslogd /dev/log unix 2 [ ACC ] STREAM HÖRT 21246286 1554/master public/cleanup unix 2 [ ACC ] STREAM HÖRT 21246293 1554/master private/rewrite unix 2 [ ACC ] STREAM HÖRT 21246297 1554/master private/bounce unix 2 [ ACC ] STREAM HÖRT 21246301 1554/master private/defer unix 2 [ ACC ] STREAM HÖRT 21246305 1554/master private/trace unix 2 [ ACC ] STREAM HÖRT 21246309 1554/master private/verify unix 2 [ ACC ] STREAM HÖRT 21246313 1554/master public/flush unix 2 [ ACC ] STREAM HÖRT 21246317 1554/master private/proxymap unix 2 [ ACC ] STREAM HÖRT 21246321 1554/master private/smtp unix 2 [ ACC ] STREAM HÖRT 21246325 1554/master private/relay unix 2 [ ACC ] STREAM HÖRT 21246329 1554/master public/showq unix 2 [ ACC ] STREAM HÖRT 21246333 1554/master private/error unix 2 [ ACC ] STREAM HÖRT 21246337 1554/master private/discard unix 2 [ ACC ] STREAM HÖRT 21246341 1554/master private/local unix 2 [ ACC ] STREAM HÖRT 21246345 1554/master private/virtual unix 2 [ ACC ] STREAM HÖRT 21246349 1554/master private/lmtp unix 2 [ ACC ] STREAM HÖRT 21246353 1554/master private/anvil unix 2 [ ACC ] STREAM HÖRT 21246357 1554/master private/scache unix 2 [ ACC ] STREAM HÖRT 21246361 1554/master private/maildrop unix 2 [ ACC ] STREAM HÖRT 21246365 1554/master private/cyrus unix 2 [ ACC ] STREAM HÖRT 21246369 1554/master private/uucp unix 3 [ ] STREAM VERBUNDEN 23464417 1214/mysqld /var/lib/mysql/mysql.sock unix 3 [ ] STREAM VERBUNDEN 23464416 12941/httpd2-prefor unix 2 [ ] DGRAM 21247609 1609/cron unix 2 [ ] DGRAM 21246411 1574/qmgr unix 3 [ ] STREAM VERBUNDEN 21246392 1554/master unix 3 [ ] STREAM VERBUNDEN 21246391 1554/master unix 3 [ ] STREAM VERBUNDEN 21246388 1554/master unix 3 [ ] STREAM VERBUNDEN 21246387 1554/master unix 3 [ ] STREAM VERBUNDEN 21246384 1554/master unix 3 [ ] STREAM VERBUNDEN 21246383 1554/master unix 3 [ ] STREAM VERBUNDEN 21246380 1554/master unix 3 [ ] STREAM VERBUNDEN 21246379 1554/master unix 3 [ ] STREAM VERBUNDEN 21246376 1554/master unix 3 [ ] STREAM VERBUNDEN 21246375 1554/master unix 3 [ ] STREAM VERBUNDEN 21246372 1554/master unix 3 [ ] STREAM VERBUNDEN 21246371 1554/master unix 3 [ ] STREAM VERBUNDEN 21246368 1554/master unix 3 [ ] STREAM VERBUNDEN 21246367 1554/master unix 3 [ ] STREAM VERBUNDEN 21246364 1554/master unix 3 [ ] STREAM VERBUNDEN 21246363 1554/master unix 3 [ ] STREAM VERBUNDEN 21246360 1554/master unix 3 [ ] STREAM VERBUNDEN 21246359 1554/master unix 3 [ ] STREAM VERBUNDEN 21246356 1554/master unix 3 [ ] STREAM VERBUNDEN 21246355 1554/master unix 3 [ ] STREAM VERBUNDEN 21246352 1554/master unix 3 [ ] STREAM VERBUNDEN 21246351 1554/master unix 3 [ ] STREAM VERBUNDEN 21246348 1554/master unix 3 [ ] STREAM VERBUNDEN 21246347 1554/master unix 3 [ ] STREAM VERBUNDEN 21246344 1554/master unix 3 [ ] STREAM VERBUNDEN 21246343 1554/master unix 3 [ ] STREAM VERBUNDEN 21246340 1554/master unix 3 [ ] STREAM VERBUNDEN 21246339 1554/master unix 3 [ ] STREAM VERBUNDEN 21246336 1554/master unix 3 [ ] STREAM VERBUNDEN 21246335 1554/master unix 3 [ ] STREAM VERBUNDEN 21246332 1554/master unix 3 [ ] STREAM VERBUNDEN 21246331 1554/master unix 3 [ ] STREAM VERBUNDEN 21246328 1554/master unix 3 [ ] STREAM VERBUNDEN 21246327 1554/master unix 3 [ ] STREAM VERBUNDEN 21246324 1554/master unix 3 [ ] STREAM VERBUNDEN 21246323 1554/master unix 3 [ ] STREAM VERBUNDEN 21246320 1554/master unix 3 [ ] STREAM VERBUNDEN 21246319 1554/master unix 3 [ ] STREAM VERBUNDEN 21246316 1554/master unix 3 [ ] STREAM VERBUNDEN 21246315 1554/master unix 3 [ ] STREAM VERBUNDEN 21246312 1554/master unix 3 [ ] STREAM VERBUNDEN 21246311 1554/master unix 3 [ ] STREAM VERBUNDEN 21246308 1554/master unix 3 [ ] STREAM VERBUNDEN 21246307 1554/master unix 3 [ ] STREAM VERBUNDEN 21246304 1554/master unix 3 [ ] STREAM VERBUNDEN 21246303 1554/master unix 3 [ ] STREAM VERBUNDEN 21246300 1554/master unix 3 [ ] STREAM VERBUNDEN 21246299 1554/master unix 3 [ ] STREAM VERBUNDEN 21246296 1554/master unix 3 [ ] STREAM VERBUNDEN 21246295 1554/master unix 3 [ ] STREAM VERBUNDEN 21246292 1554/master unix 3 [ ] STREAM VERBUNDEN 21246291 1554/master unix 3 [ ] STREAM VERBUNDEN 21246289 1554/master unix 3 [ ] STREAM VERBUNDEN 21246288 1554/master unix 3 [ ] STREAM VERBUNDEN 21246285 1554/master unix 3 [ ] STREAM VERBUNDEN 21246284 1554/master unix 3 [ ] STREAM VERBUNDEN 21246282 1554/master unix 3 [ ] STREAM VERBUNDEN 21246281 1554/master unix 2 [ ] DGRAM 21246037 1554/master unix 3 [ ] STREAM VERBUNDEN 21243720 570/hald @/var/run/hald/dbus-STkgdRikBJ unix 3 [ ] STREAM VERBUNDEN 21243655 574/hald-runner unix 3 [ ] STREAM VERBUNDEN 21243637 540/dbus-daemon /var/run/dbus/system_bus_socket unix 3 [ ] STREAM VERBUNDEN 21243636 573/console-kit-dae unix 3 [ ] STREAM VERBUNDEN 21243620 540/dbus-daemon /var/run/dbus/system_bus_socket unix 3 [ ] STREAM VERBUNDEN 21243619 570/hald unix 3 [ ] STREAM VERBUNDEN 21243603 540/dbus-daemon unix 3 [ ] STREAM VERBUNDEN 21243602 540/dbus-daemon Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Al Bogner schrieb:
Aktive Internetverbindungen (Server und stehende Verbindungen)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1470/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1554/master tcp 0 0 69.197.162.42:1080 69.199.176.194:1712 SYN_RECV - tcp 0 0 69.197.162.42:1080 89.149.244.72:3605 SYN_RECV - tcp 0 0 69.197.162.42:1080 89.222.196.103:59592 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:3794 SYN_RECV - tcp 0 0 69.197.162.42:1080 212.95.54.181:3979 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4400 SYN_RECV - tcp 0 0 69.197.162.42:1080 60.211.255.238:26906 SYN_RECV - tcp 0 0 69.197.162.42:1080 212.117.183.125:55861 SYN_RECV - tcp 0 0 69.197.162.42:1080 87.195.67.12:39323 SYN_RECV - tcp 0 0 69.197.162.42:1080 69.31.80.58:65439 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4449 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4046 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4353 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4102 SYN_RECV - tcp 0 0 69.197.162.42:1080 74.105.92.219:9120 SYN_RECV - tcp 0 0 69.197.162.42:1080 89.149.242.221:37765 SYN_RECV - tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 1214/mysqld tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 12909/httpd2-prefor tcp 0 0 69.197.162.39:80 119.63.198.87:64484 VERBUNDEN 12941/httpd2-prefor tcp 0 0 69.197.162.39:80 119.63.198.113:63300 TIME_WAIT - tcp 0 0 69.197.162.39:80 216.129.119.40:51162 TIME_WAIT - tcp 0 0 69.197.162.39:80 67.218.116.134:56676 TIME_WAIT - tcp 0 0 69.197.162.39:80 216.129.119.42:46019 TIME_WAIT - tcp 0 0 69.197.162.39:80 67.218.116.165:41755 TIME_WAIT - tcp 0 0 69.197.162.39:80 216.129.119.11:47101 TIME_WAIT - tcp 0 0 69.197.162.39:80 216.129.119.13:50673 TIME_WAIT - tcp 0 0 69.197.162.39:22 85.127.55.167:38150 VERBUNDEN 12753/0 tcp 0 11585 69.197.162.39:80 67.195.111.33:50003 LAST_ACK - tcp 0 48 69.197.162.39:22 85.127.55.167:38163 VERBUNDEN 12795/1
Wer ist 85.127.55.167 ? Bist Du das ? Bernd
Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
--
Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 08 März 2010 12:44:23 schrieb Lentes, Bernd:
Wer ist 85.127.55.167 ? Bist Du das ?
85.127.55.167 bin ich. Ich musste mich ja per ssh zum Rechner verbinden um abzufragen. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi Al, Al Bogner schrieb:
Am Montag 08 März 2010 10:44:20 schrieb Lentes, Bernd:
Al Bogner schrieb:
tcp 0 0 69.197.162.42:1080 69.199.176.194:1712 SYN_RECV - tcp 0 0 69.197.162.42:1080 89.149.244.72:3605 SYN_RECV - tcp 0 0 69.197.162.42:1080 89.222.196.103:59592 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:3794 SYN_RECV - tcp 0 0 69.197.162.42:1080 212.95.54.181:3979 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4400 SYN_RECV - tcp 0 0 69.197.162.42:1080 60.211.255.238:26906 SYN_RECV - tcp 0 0 69.197.162.42:1080 212.117.183.125:55861 SYN_RECV - tcp 0 0 69.197.162.42:1080 87.195.67.12:39323 SYN_RECV - tcp 0 0 69.197.162.42:1080 69.31.80.58:65439 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4449 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4046 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4353 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4102 SYN_RECV - tcp 0 0 69.197.162.42:1080 74.105.92.219:9120 SYN_RECV - tcp 0 0 69.197.162.42:1080 89.149.242.221:37765 SYN_RECV
Was ist das für ein Service der bei Dir auf Port 1080 angeboten wird?? :~$ *whois 60.211.255.238* % [whois.apnic.net node-3] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html inetnum: 60.208.0.0 - 60.217.255.255 netname: UNICOM-SD descr: China Unicom Shandong province network descr: China Unicom country: CN admin-c: CH1302-AP tech-c: XZ14-AP mnt-by: APNIC-HM mnt-lower: MAINT-CNCGROUP-SD mnt-routes: MAINT-CNCGROUP-RR status: ALLOCATED PORTABLE -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 08 März 2010 12:48:20 schrieb Axel Birndt:
Hi Al,
Al Bogner schrieb:
Am Montag 08 März 2010 10:44:20 schrieb Lentes, Bernd:
Al Bogner schrieb:
tcp 0 0 69.197.162.42:1080 69.199.176.194:1712 SYN_RECV - tcp 0 0 69.197.162.42:1080 89.149.244.72:3605 SYN_RECV - tcp 0 0 69.197.162.42:1080 89.222.196.103:59592 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:3794 SYN_RECV - tcp 0 0 69.197.162.42:1080 212.95.54.181:3979 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4400 SYN_RECV - tcp 0 0 69.197.162.42:1080 60.211.255.238:26906 SYN_RECV - tcp 0 0 69.197.162.42:1080 212.117.183.125:55861 SYN_RECV - tcp 0 0 69.197.162.42:1080 87.195.67.12:39323 SYN_RECV - tcp 0 0 69.197.162.42:1080 69.31.80.58:65439 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4449 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4046 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4353 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4102 SYN_RECV - tcp 0 0 69.197.162.42:1080 74.105.92.219:9120 SYN_RECV - tcp 0 0 69.197.162.42:1080 89.149.242.221:37765 SYN_RECV
Was ist das für ein Service der bei Dir auf Port 1080 angeboten wird??
:~$ *whois 60.211.255.238*
% [whois.apnic.net node-3] % Whois data copyright terms http://www.apnic.net/db/dbcopyright.html
inetnum: 60.208.0.0 - 60.217.255.255 netname: UNICOM-SD descr: China Unicom Shandong province network descr: China Unicom country: CN admin-c: CH1302-AP tech-c: XZ14-AP mnt-by: APNIC-HM mnt-lower: MAINT-CNCGROUP-SD mnt-routes: MAINT-CNCGROUP-RR status: ALLOCATED PORTABLE
Das habe ich mich auch schon gefragt, was das sein könnte. Wie finde ich das raus? Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi Al, Al Bogner schrieb:
Am Montag 08 März 2010 12:48:20 schrieb Axel Birndt:
Hi Al,
Al Bogner schrieb:
Am Montag 08 März 2010 10:44:20 schrieb Lentes, Bernd:
Al Bogner schrieb: tcp 0 0 69.197.162.42:1080 69.199.176.194:1712 ... Was ist das für ein Service der bei Dir auf Port 1080 angeboten wird?? ...
Das habe ich mich auch schon gefragt, was das sein könnte. Wie finde ich das raus?
Du könntest Dir in Deine .profile eine alias-Definition machen: alias lsof_Ports='sudo lsof -i -n -P' Der Befehl sudo lsof -i -n -P gibt Dir dann aus, welche Prozesse da hören: ~$ lsof_Ports [sudo] password for ab: COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME avahi-dae 1373 avahi 14u IPv4 5150 0t0 UDP *:5353 avahi-dae 1373 avahi 15u IPv4 5151 0t0 UDP *:48432 apache2 1955 root 4u IPv6 6510 0t0 TCP *:80 (LISTEN) apache2 1957 www-data 4u IPv6 6510 0t0 TCP *:80 (LISTEN) apache2 1961 www-data 4u IPv6 6510 0t0 TCP *:80 (LISTEN) apache2 1962 www-data 4u IPv6 6510 0t0 TCP *:80 (LISTEN) apache2 1963 www-data 4u IPv6 6510 0t0 TCP *:80 (LISTEN) apache2 1964 www-data 4u IPv6 6510 0t0 TCP *:80 (LISTEN) So siehst Du welchem User das gehört und kannst dann mit lsof/ps/netstat weitersuchen was der so treibt. Sollte tatsächlich ein feindlicher Prozess auf dem 1080 Port horchen, dann solltest Du dringend den Server nach außen absolut dicht machen und z.B. nur ssh über einen anderen Port zulassen und ansonsten alle Services abschalten. Beispiel für lsof: sudo lsof | grep 1961 apache2 1961 www-data cwd DIR 8,1 4096 2 / apache2 1961 www-data rtd DIR 8,1 4096 2 / apache2 1961 www-data txt REG 8,1 395492 1113021 /usr/lib/apache2/mpm-prefork/apache2 apache2 1961 www-data mem REG 8,1 38360 425158 /lib/tls/i686/cmov/libcrypt-2.10.1.so apache2 1961 www-data mem REG 8,1 5464 1113037 /usr/lib/apache2/modules/mod_authz_default.so So siehst Du was der Prozess alles benutzt und hast (wenn Du dem Befehl lsof noch trauen kannst) eine Übersicht was der Prozess alles benutzt. -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 08 März 2010 13:36:03 schrieb Axel Birndt: Hallo Axel,
Was ist das für ein Service der bei Dir auf Port 1080 angeboten wird??
...
Das habe ich mich auch schon gefragt, was das sein könnte. Wie finde ich das raus?
Du könntest Dir in Deine .profile eine alias-Definition machen:
alias lsof_Ports='sudo lsof -i -n -P'
Der Befehl
sudo lsof -i -n -P
gibt Dir dann aus, welche Prozesse da hören:
lsof -i -n -P COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME mysqld 1214 mysql 10u IPv4 21245020 0t0 TCP *:3306 (LISTEN) sshd 1470 root 3u IPv4 21245398 0t0 TCP *:22 (LISTEN) sshd 1470 root 4u IPv6 21245400 0t0 TCP *:22 (LISTEN) master 1554 root 12u IPv4 21246278 0t0 TCP 127.0.0.1:25 (LISTEN) master 1554 root 13u IPv6 21246280 0t0 TCP [::1]:25 (LISTEN) httpd2-pr 12909 root 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 13904 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 14145 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 14313 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 14397 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) sshd 14415 root 3r IPv4 23624527 0t0 TCP 69.197.162.39:22-
85.127.55.167:49307 (ESTABLISHED) httpd2-pr 14449 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN)
Was ist da auffällig? 85.127.55.167 bin ich.
So siehst Du welchem User das gehört und kannst dann mit lsof/ps/netstat weitersuchen was der so treibt.
Sollte tatsächlich ein feindlicher Prozess auf dem 1080 Port horchen, dann solltest Du dringend den Server nach außen absolut dicht machen und z.B. nur ssh über einen anderen Port zulassen und ansonsten alle Services abschalten.
Beispiel für lsof:
sudo lsof | grep 1961
apache2 1961 www-data cwd DIR 8,1 4096 2 / apache2 1961 www-data rtd DIR 8,1 4096 2 / apache2 1961 www-data txt REG 8,1 395492 1113021 /usr/lib/apache2/mpm-prefork/apache2 apache2 1961 www-data mem REG 8,1 38360 425158 /lib/tls/i686/cmov/libcrypt-2.10.1.so apache2 1961 www-data mem REG 8,1 5464 1113037 /usr/lib/apache2/modules/mod_authz_default.so
So siehst Du was der Prozess alles benutzt und hast (wenn Du dem Befehl lsof noch trauen kannst) eine Übersicht was der Prozess alles benutzt.
Wie schon geschrieben, der Server ist schon mehr oder weniger down, da ein neuer aufgesetzt wird. Ich frage mich nur, was ich falsch gemacht haben kann. Identifizierung nur per keys. Regelmäßige Updates. Bleiben also php-Scripts die ausgenutzt werden lkönnten oder der direkte Login über den Hoster. Das Web-PW beim Hoster hat > 30 zufällige Stellen. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Al Bogner schrieb: lsof -i -n -P COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME mysqld 1214 mysql 10u IPv4 21245020 0t0 TCP *:3306 (LISTEN) sshd 1470 root 3u IPv4 21245398 0t0 TCP *:22 (LISTEN) sshd 1470 root 4u IPv6 21245400 0t0 TCP *:22 (LISTEN) master 1554 root 12u IPv4 21246278 0t0 TCP 127.0.0.1:25 (LISTEN) master 1554 root 13u IPv6 21246280 0t0 TCP [::1]:25 (LISTEN) httpd2-pr 12909 root 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 13904 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 14145 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 14313 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 14397 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) sshd 14415 root 3r IPv4 23624527 0t0 TCP 69.197.162.39:22-
85.127.55.167:49307 (ESTABLISHED) httpd2-pr 14449 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN)
Mach mal bitte ein netstat -anp|less und poste das anschließend hier. p zeigt Dir die Prozesse zu den Ports an. Auf dem oben gezeigten Output ist kein Port 1080 zu sehen. Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 08 März 2010 14:04:04 schrieben Sie:
Al Bogner schrieb:
lsof -i -n -P COMMAND PID USER FD TYPE DEVICE SIZE/OFF NODE NAME mysqld 1214 mysql 10u IPv4 21245020 0t0 TCP *:3306 (LISTEN) sshd 1470 root 3u IPv4 21245398 0t0 TCP *:22 (LISTEN) sshd 1470 root 4u IPv6 21245400 0t0 TCP *:22 (LISTEN) master 1554 root 12u IPv4 21246278 0t0 TCP 127.0.0.1:25 (LISTEN) master 1554 root 13u IPv6 21246280 0t0 TCP [::1]:25 (LISTEN) httpd2-pr 12909 root 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 13904 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 14145 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 14313 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) httpd2-pr 14397 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN) sshd 14415 root 3r IPv4 23624527 0t0 TCP 69.197.162.39:22-
85.127.55.167:49307 (ESTABLISHED)
httpd2-pr 14449 wwwrun 3u IPv4 23461472 0t0 TCP *:80 (LISTEN)
Mach mal bitte ein netstat -anp|less und poste das anschließend hier. p zeigt Dir die Prozesse zu den Ports an. Auf dem oben gezeigten Output ist kein Port 1080 zu sehen.
Aktive Internetverbindungen (Server und stehende Verbindungen) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1470/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1554/master tcp 0 0 69.197.162.42:1080 82.75.147.76:4123 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:3687 SYN_RECV - tcp 0 0 69.197.162.42:1080 124.32.5.238:1483 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4026 SYN_RECV - tcp 0 0 69.197.162.42:1080 124.32.5.238:3437 SYN_RECV - tcp 0 0 69.197.162.42:1080 212.117.183.125:57752 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:3684 SYN_RECV - tcp 0 0 69.197.162.42:1080 123.70.100.60:4427 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4465 SYN_RECV - tcp 0 0 69.197.162.42:1080 124.32.5.238:1482 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:3758 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4655 SYN_RECV - tcp 0 0 69.197.162.42:1080 123.117.22.35:39671 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:3884 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:4853 SYN_RECV - tcp 0 0 0.0.0.0:3306 0.0.0.0:* LISTEN 1214/mysqld tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN 12909/httpd2-prefor tcp 0 0 69.197.162.39:80 119.63.198.91:63113 TIME_WAIT - tcp 0 0 69.197.162.39:80 216.129.119.42:39093 TIME_WAIT - tcp 0 0 69.197.162.39:80 85.127.55.167:42147 TIME_WAIT - tcp 0 0 69.197.162.39:80 85.127.55.167:42146 TIME_WAIT - tcp 0 0 69.197.162.39:80 216.129.119.42:44494 TIME_WAIT - tcp 0 0 69.197.162.39:80 61.135.249.209:34668 TIME_WAIT - tcp 0 0 69.197.162.39:80 85.127.55.167:42143 TIME_WAIT - tcp 0 0 69.197.162.39:80 67.195.111.33:51910 TIME_WAIT - tcp 0 0 69.197.162.39:80 67.195.111.33:52006 TIME_WAIT - tcp 0 112 69.197.162.39:22 85.127.55.167:45723 VERBUNDEN 15314/0 tcp 0 0 69.197.162.39:80 61.135.249.209:24687 TIME_WAIT - tcp 0 0 69.197.162.39:80 119.63.198.122:1680 TIME_WAIT - tcp 0 0 69.197.162.39:80 216.129.119.40:40038 TIME_WAIT - tcp 0 0 69.197.162.39:80 85.127.55.167:42148 TIME_WAIT - tcp 0 0 69.197.162.39:80 67.218.116.165:41926 TIME_WAIT - tcp 0 0 69.197.162.39:80 85.127.55.167:42149 TIME_WAIT - tcp 0 0 69.197.162.39:80 85.127.55.167:42150 TIME_WAIT - tcp 0 0 :::22 :::* LISTEN 1470/sshd tcp 0 0 ::1:25 :::* LISTEN 1554/master Aktive Sockets in der UNIX Domäne (Server und stehende Verbindungen) Proto RefZäh Flaggen Typ Zustand I-Node PID/Program name Pfad whois 69.197.162.42 WholeSale Internet, Inc. WHOLESALEINTERNET-2 (NET-69-197-128-0-1) 69.197.128.0 - 69.197.191.255 RAM Host WII-1993-07 (NET-69-197-162-32-1) 69.197.162.32 - 69.197.162.63 Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi Al, du hast nich genau gelesen... Al Bogner schrieb:
Am Montag 08 März 2010 14:04:04 schrieben Sie:
Aktive Internetverbindungen (Server und stehende Verbindungen) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1470/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1554/master tcp 0 0 69.197.162.42:1080 82.75.147.76:4123 SYN_RECV -
Ein netstat -anp sieht etwas anders aus. Aktive Internetverbindungen (Server und stehende Verbindungen) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:901 0.0.0.0:* LISTEN - tcp 0 0 0.0.0.0:902 0.0.0.0:* LISTEN - tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN - tcp 0 0 127.0.0.1:46701 0.0.0.0:* LISTEN 3838/beam.smp tcp 0 0 0.0.0.0:8333 0.0.0.0:* LISTEN - tcp 0 0 0.0.0.0:35762 0.0.0.0:* LISTEN 3466/skype Weil das Log sehr lang ist, könntest du auch pastebin benutzen... -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 08 März 2010 14:48:08 schrieb Axel Birndt: Hi Axel,
du hast nich genau gelesen...
Al Bogner schrieb:
Am Montag 08 März 2010 14:04:04 schrieben Sie:
Aktive Internetverbindungen (Server und stehende Verbindungen) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1470/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1554/master tcp 0 0 69.197.162.42:1080 82.75.147.76:4123 SYN_RECV -
Ein netstat -anp sieht etwas anders aus.
Genau das habe ich nun 2x gepostet. Einmal mit einer less-Pipe. Ich habe lt. History diesen Befehl eingegeben: netstat -anp|less
Aktive Internetverbindungen (Server und stehende Verbindungen) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:901 0.0.0.0:* LISTEN - tcp 0 0 0.0.0.0:902 0.0.0.0:* LISTEN - tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN - tcp 0 0 127.0.0.1:46701 0.0.0.0:* LISTEN 3838/beam.smp tcp 0 0 0.0.0.0:8333 0.0.0.0:* LISTEN - tcp 0 0 0.0.0.0:35762 0.0.0.0:* LISTEN 3466/skype
Weil das Log sehr lang ist, könntest du auch pastebin benutzen...
Dieses Mail enthält die komplette Ausgabe: Date: Mon, 8 Mar 2010 12:36:25 +0100 Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Al Bogner schrieb:
Aktive Internetverbindungen (Server und stehende Verbindungen) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1470/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1554/master tcp 0 0 69.197.162.42:1080 82.75.147.76:4123 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:3687
[...] Upps. Port ohne Prozess. Da hab ich erst mal keine Idee. Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Lentes, Bernd schrieb:
Al Bogner schrieb:
tcp 0 0 69.197.162.42:1080 82.75.147.76:3687
[...]
Upps. Port ohne Prozess. Da hab ich erst mal keine Idee.
Da fällt mir auch nix mehr ein. Ich nehm an Reboots hast du auch schon gemacht? vielleicht gut, das der Server vom Netz kommt, wie du ja bereits berichtet hast... Keine Ahnung mehr... -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 08 März 2010 15:37:45 schrieb Axel Birndt:
Lentes, Bernd schrieb:
Al Bogner schrieb:
tcp 0 0 69.197.162.42:1080 82.75.147.76:3687
[...]
Upps. Port ohne Prozess. Da hab ich erst mal keine Idee.
Da fällt mir auch nix mehr ein. Ich nehm an Reboots hast du auch schon gemacht?
vielleicht gut, das der Server vom Netz kommt, wie du ja bereits berichtet hast...
Keine Ahnung mehr...
Vielen Dank! Es gibt also keine eindeutigen Beweise, dass der Rechner gehackt wurde? Vieleicht sollte ich "MaxClients 10" etwas erhöhren? Auf wieviel? Es gibt für mehrere Webseiten max. 1000 Besuche pro Tag, meist viel weniger, etwa 200-300. Ich habe schon ein paar Chinesen auf meinen Seiten gesehen, die vermutlich ohne böse Absichten auf meinen Seiten waren und meine Fotos anschauten. Grundsätzlich will ich die nicht sperren. Wer per ssh reinwill, ist sofort blockiert. Wie kann ich die IP-Adressse bei falschen Loginsversuchen bei Drupal und der Menalto-Gallery sperren? Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Al Bogner schrieb:
Vielen Dank!
Es gibt also keine eindeutigen Beweise, dass der Rechner gehackt wurde?
Nun ja, wenn da ein Port auf ist, von dem Du nichts weißt, deutet das schon sehr auf einen Einbruch hin. Port 1080 ist das socks-Protokoll. Hast Du da einen Proxy installiert ? Bernd -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hi Al, Lentes, Bernd schrieb:
Al Bogner schrieb:
Vielen Dank!
Es gibt also keine eindeutigen Beweise, dass der Rechner gehackt wurde?
Nun ja, wenn da ein Port auf ist, von dem Du nichts weißt, deutet das schon sehr auf einen Einbruch hin. Port 1080 ist das socks-Protokoll. Hast Du da einen Proxy installiert ?
Jetzt mal sorry... aber 1) geht der Thread schon sehr lange 2) wie sollen wir wissen ob der Server gehacked worden ist? 3) haben wir keinen Zugriff auf die Kiste... 4) Kann man an Hand der Informationen dritter nur recht schlecht beurteilen was wirklich los ist... ergo... Wenn du jetzt nicht mehr weiterkommst, dann hol Dir jemanden, der es wirklich kann (nebenbei das Ergebnis würde mich wirklich interessieren!). Und es wurde bereits mehr als einmal erwähnt, das man den Systemtools nicht mehr vertrauen kann, wenn auch nur der Verdacht besteht der Server könnte gehacked worden sein. Guck mal in so root-server Foren... Die können da teilweise besser helfen. Oder evtl hat David noch ne Idee... Ich weiß es nicht mehr... -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 08 März 2010 16:28:35 schrieb Lentes, Bernd:
Al Bogner schrieb:
Vielen Dank!
Es gibt also keine eindeutigen Beweise, dass der Rechner gehackt wurde?
Nun ja, wenn da ein Port auf ist, von dem Du nichts weißt, deutet das schon sehr auf einen Einbruch hin. Port 1080 ist das socks-Protokoll. Hast Du da einen Proxy installiert ?
Nein Logischerweise interessiert mich, wie da jemand reingekommen sein könnte. Ich würde nichts anderes machen, wenn ich den Server neu aufsetze und das passiert in den nächsten Tagen. Beim letzten Hoster (kein VPS) hatte ich das Problem, dass die Webseiten eines Freundes textmäßig mit P$orn ersetzt wurden und bei mir nur ein paar Logs (anderer Account). Da kam der Angreifer also von einer Seite rein, für die ich keine Verantwortung hatte. Beim VPS sehe ich als Schwachstelle das Weblogin mit dem man ssh-Zugang erhält. Das PW ist dort wie schon geschrieben aber sehr gut und zur eigenen IP funktioniert es nur mit Keys. Natürlich könnt ihr auch nicht hellsehen. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo, Am Mon, 08 Mär 2010, Al Bogner schrieb:
Am Montag 08 März 2010 15:37:45 schrieb Axel Birndt:
Lentes, Bernd schrieb:
Al Bogner schrieb:
tcp 0 0 69.197.162.42:1080 82.75.147.76:3687
Also erstens: die Verbindungen auf Port 1080 waren alle im Status SYN, d.h. da kam halt von außen ein Packerl angeflogen, daß bat, doch mal den Port aufzumachen. Das heißt noch lange nicht, daß hinter dem Port auch was erreichbar ist. Am einfachste wäre den Port (bzw. alle außer 22 und 80) von außen per FW dichtzumachen. Und ssh kann man ggfs. auch noch weiter (Quell-IP) einschränken, mit gewissem Risiko bzgl. der eigenen IP (Provider-Pool/feste IP) ;)
Es gibt also keine eindeutigen Beweise, dass der Rechner gehackt wurde?
Nö.
Vieleicht sollte ich "MaxClients 10" etwas erhöhren? Auf wieviel? Es gibt für mehrere Webseiten max. 1000 Besuche pro Tag, meist viel weniger, etwa 200-300.
Kommt auf die Webseiten an. Typischerweise bekommst du die 10 Verbindungen aber je nach Client-Browser (Verbindungs-"Reuse") und Webseitenaufbau (ext./inline CSS, JS, etc. pp.) schon mit 1-2 Abfragen der index.html z.B. "voll". Das MaxClients solltest du IMHO deutlich raufdrehen. 50-150 dürfte sinnvoll sein. 10 ist einfach zu wenig.
Ich habe schon ein paar Chinesen auf meinen Seiten gesehen, die vermutlich ohne böse Absichten auf meinen Seiten waren und meine Fotos anschauten. Grundsätzlich will ich die nicht sperren.
Naja, die Versuche auf :1080 reinzukommen ...
Wer per ssh reinwill, ist sofort blockiert.
Wie kann ich die IP-Adressse bei falschen Loginsversuchen bei Drupal und der Menalto-Gallery sperren?
fail2ban? -dnh -- Demokratie ist die Herrschaft der Unfähigen über die Desinteressierten... -- sinngemäß aus Dorfer's Donnerstalk -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 08 März 2010 17:30:14 schrieb David Haller: Hallo David,
Am Mon, 08 Mär 2010, Al Bogner schrieb:
Am Montag 08 März 2010 15:37:45 schrieb Axel Birndt:
Lentes, Bernd schrieb:
Al Bogner schrieb:
tcp 0 0 69.197.162.42:1080 82.75.147.76:3687
Also erstens: die Verbindungen auf Port 1080 waren alle im Status SYN, d.h. da kam halt von außen ein Packerl angeflogen, daß bat, doch mal den Port aufzumachen.
Das heißt noch lange nicht, daß hinter dem Port auch was erreichbar ist. Am einfachste wäre den Port (bzw. alle außer 22 und 80) von außen per FW dichtzumachen.
Genauso ist es gedacht. Yast-Firewall meint: Open Services, Ports, and Protocols + HTTP Server + Secure Shell Server
Und ssh kann man ggfs. auch noch weiter (Quell-IP) einschränken, mit gewissem Risiko bzgl. der eigenen IP (Provider-Pool/feste IP) ;)
Ich habe eine dynam. IP.
Es gibt also keine eindeutigen Beweise, dass der Rechner gehackt wurde?
Nö.
Vieleicht sollte ich "MaxClients 10" etwas erhöhren? Auf wieviel? Es gibt für mehrere Webseiten max. 1000 Besuche pro Tag, meist viel weniger, etwa 200-300.
Kommt auf die Webseiten an. Typischerweise bekommst du die 10 Verbindungen aber je nach Client-Browser (Verbindungs-"Reuse") und Webseitenaufbau (ext./inline CSS, JS, etc. pp.) schon mit 1-2 Abfragen der index.html z.B. "voll". Das MaxClients solltest du IMHO deutlich raufdrehen. 50-150 dürfte sinnvoll sein. 10 ist einfach zu wenig.
Vielleicht ist das mein einziges Problem?
Ich habe schon ein paar Chinesen auf meinen Seiten gesehen, die vermutlich ohne böse Absichten auf meinen Seiten waren und meine Fotos anschauten. Grundsätzlich will ich die nicht sperren.
Naja, die Versuche auf :1080 reinzukommen ...
denyhosts ist agressiv eingestellt, aber das blockt nur bei ssh. Neben den Chinesen gibt es da auch viele andere hartnäckige Länder. Da gibt es sogar Wörterbuchattaken, die nach Tagen dort weitergehen,wo sie aufhörten.
Wer per ssh reinwill, ist sofort blockiert.
Wie kann ich die IP-Adressse bei falschen Loginsversuchen bei Drupal und der Menalto-Gallery sperren?
fail2ban?
Ich verwende denyhosts. Nur wie kriegt denyhsots mit, dass beim CMS ein Einbruchsversuch war? Bei der Gallery sind Captchas eingestellt. Vielleicht sollte ich mal bei Drupal schauen, ob es da ein Modul dafür gibt. Nur externe Module sind auch wieder ein Sicherheitsproblem. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 08 März 2010 15:21:13 schrieb Lentes, Bernd: Hi Bernd,
Aktive Internetverbindungen (Server und stehende Verbindungen) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 0.0.0.0:22 0.0.0.0:* LISTEN 1470/sshd tcp 0 0 127.0.0.1:25 0.0.0.0:* LISTEN 1554/master tcp 0 0 69.197.162.42:1080 82.75.147.76:4123 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:3687
[...]
Upps. Port ohne Prozess. Da hab ich erst mal keine Idee.
Gerade funktioniert Web völlig normal, fish:// ist ab dem 1. Öffnen eines Ordners unbrauchbar. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Mon, March 8, 2010 3:21 pm, Lentes, Bernd wrote:
Al Bogner schrieb:
Aktive Internetverbindungen (Server und stehende Verbindungen) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 69.197.162.42:1080 82.75.147.76:4123 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:3687
[...]
Upps. Port ohne Prozess. Da hab ich erst mal keine Idee.
Für mich sieht das ja eher so aus, als wäre der Rechner auf irgendeiner tollen Proxy-Liste gelandet und eine Menge Leute probieren diesen tollen Socks-Proxy aus. Und nun hat der Netzwerkstack Probleme, den Haufen TCP-Verbindungen zu verwerfen. Könnte also im Endeffekt sowas wie ein Syn-Flood sein. Tritt denn das Problem nur auf, wenn der Apache läuft? Dann wäre der Traffic auf Port 1080 ja erstmal harmlos, weil im Stack die Pakete eh verworfen werden. regards, Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
On Mo, 08 Mär 2010, Christian Brabandt wrote:
Für mich sieht das ja eher so aus, als wäre der Rechner auf irgendeiner tollen Proxy-Liste gelandet und eine Menge Leute probieren diesen tollen Socks-Proxy aus. Und nun hat der Netzwerkstack Probleme, den Haufen TCP-Verbindungen zu verwerfen. Könnte also im Endeffekt sowas wie ein Syn-Flood sein.
Hier zum Beispiel: http://proxy-heaven.blogspot.com/2010/03/02-03-10-socks-45-13k.html Mit freundlichen Grüßen Christian -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Am Montag 08 März 2010 19:19:58 schrieb Christian Brabandt:
On Mon, March 8, 2010 3:21 pm, Lentes, Bernd wrote:
Al Bogner schrieb:
Aktive Internetverbindungen (Server und stehende Verbindungen) Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name tcp 0 0 69.197.162.42:1080 82.75.147.76:4123 SYN_RECV - tcp 0 0 69.197.162.42:1080 82.75.147.76:3687
[...]
Upps. Port ohne Prozess. Da hab ich erst mal keine Idee.
Für mich sieht das ja eher so aus, als wäre der Rechner auf irgendeiner tollen Proxy-Liste gelandet und eine Menge Leute probieren diesen tollen Socks-Proxy aus. Und nun hat der Netzwerkstack Probleme, den Haufen TCP-Verbindungen zu verwerfen. Könnte also im Endeffekt sowas wie ein Syn-Flood sein.
Tritt denn das Problem nur auf, wenn der Apache läuft? Dann wäre der Traffic auf Port 1080 ja erstmal harmlos, weil im Stack die Pakete eh verworfen werden.
Die Webseiten funktionieren noch immer problemlos, also kann ich schwer was dazu sagen. Da es ein reiner Webserver ist, habe ich keine Erfahrung was los ist, wenn der Webserver nicht läuft. Manchmal konnte ich mich früher noch per ssh einloggen, wenn der Webserver nicht mehr antwortete, aber nicht immer. Der Mailserver sollte nach außen dicht sein und wird nur für interne Warnmails verwendet. Al -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Moin Leutz Juergen Langowski schrieb:
Am Sonntag, 7. März 2010 17:31:42 schrieb Al Bogner:
(...)
2832 root 20 0 22768 7180 3652 S 0 0.9 0:00.22 httpd2-prefork 2833 wwwrun 20 0 44540 25m 5396 S 0 3.4 0:28.32 httpd2-prefork 2834 wwwrun 20 0 37376 19m 5224 S 0 2.6 0:19.28 httpd2-prefork 2835 wwwrun 20 0 39500 21m 5140 S 0 2.8 0:20.04 httpd2-prefork 2836 wwwrun 20 0 40284 21m 5504 S 0 2.9 0:30.10 httpd2-prefork
Ich verstehe nicht warum da auch was als user root läuft. Die Rechte sind default. (...)
Das ist tatsächlich merkwürdig. Du könntest mal versuchen, den root- Prozess von Hand zu beenden. Läuft Apache dann wieder schneller? Also, mal langsam... Es ist logisch das der Startprozess des Apachen als root läuft!
Zuerst wird obiger gestartet und startet dann die eigentlichen Workerprozesse als wwwrun User...(bzw. macht einen userswitch) -- Gruß Axel ------------------------------ => einen Server härten? google mal nach Stahl härten oder was meinst Du mit härten? Aus: http://www.administrator.de/index.php?content=69906 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Al Bogner schrieb:
Ich verstehe nicht warum da auch was als user root läuft. Die Rechte sind default.
Ein normaler Webserver lauscht auf Port 80. Ports unter 1024 dürfen nur von root geöffnet werden. Von daher läuft ein Apache-Prozess immer mit root-Rechten. Das ist in Ordnung so. Bernd-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
Hallo Al,
Ich habe einen VPS (virtueller privater Server) und habe längere Zeit nichts geändert. In letzter Zeit funktioniert immer weniger.
Frage: Bei welchem Anbieter? -- Gruß Sebastian - openSUSE Member (Freespacer) http://de.opensuse.org/Benutzer:Freespacer Wichtiger Hinweis zur openSUSE Mailing Liste: http://de.opensuse.org/OpenSUSE_mailing_list_netiquette -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um eine Liste aller verfuegbaren Kommandos zu bekommen, schicken Sie eine Mail an: opensuse-de+help@opensuse.org
participants (7)
-
Al Bogner
-
Axel Birndt
-
Christian Brabandt
-
David Haller
-
Juergen Langowski
-
Lentes, Bernd
-
Sebastian Siebert