Apache zu 100 % augelastet, Websites unerreichbar

Dieses Thema im Forum "Server Administration" wurde erstellt von Falcon37, 18. Juli 2009.

  1. Falcon37

    Falcon37 New Member

    Habe seit vorgestern 1:58 folgendes Problem:
    Apache lastet zu 100 % aus. Warum weiß ich leider nicht, denke aber das es kein DoS ist.
    top zeigt das:
    Weiß jemand was los sein könnte? Welche Logs sind in so einem fall relevant?
    thx
     
  2. Till

    Till Administrator

    Check mal Dein System mit rkhunter. Außerdem mal mit einem portscanner von außen checek, ob da noch irgend was anderes auf dem Server läuft. Es kann sein dass jemand eine der sites gehackt hat da jetzt ein irc server oder so drauf läuft.
     
  3. planet_fox

    planet_fox Super-Moderator

    hi falcon gib mal bitte ne rückmeldung ob du was gefunden hast
     
  4. Falcon37

    Falcon37 New Member

    Sorry hatte den Server erstmal abgeschaltet und das automatische hochfahren hat nicht ganz geklappt, deswegen kann ich jetzt erst mit rkhunter untersuchen und Ports scannen.

    Ich editiere diesen Post wenn ich Ergebnisse habe.
     
  5. Falcon37

    Falcon37 New Member

    Hier das Ergebnis von rkhunter:

    Code:
    System checks summary
    =====================
    
    File properties checks...
        Required commands check failed
        Files checked: 124
        Suspect files: 6
    
    Rootkit checks...
        Rootkits checked : 110
        Possible rootkits: 0
    
    Applications checks...
        Applications checked: 4
        Suspect applications: 0
    
    The system checks took: 1 minute and 23 seconds
    
    All results have been written to the logfile (/var/log/rkhunter.log)
    
    One or more warnings have been found while checking the system.
    Please check the log file (/var/log/rkhunter.log)
    Das komplette Ergebnis kann man im Anhang laden (war zu groß für einen Post).

    Portscan hat ergeben das alle offen sind so wie ich ins ISPConfig 3 eingestellt habe, bis auf 1863 (msnp) und 5190 (aol) -die sind offen?!

    Zum Traffic kann ich nicht viel sagen, ISPConfig 3 hat ja leider noch keine Statistik und mein Bruder behauptet 2 GB pro Tag (das war aber schon immer so).

    Übrigens ist es jetzt noch merkwürdiger geworden, TOP zeigt jetzt eine Last von durchschnittlich 15 % also normal und keine Zoombie-Prozesse mehr, trotzdem alles extrem langsam und ob die Last 100 % wäre.... Mein Provider hat mir versichert das es keine Netzwerkprobleme gibt.
     
    Zuletzt bearbeitet: 29. März 2010
  6. Till

    Till Administrator

    Das würdest Du darüber auch wahrscheinlich nicht sehen können, wenn der Server gehackt wäre. Da sich hacker nicht daran halten und Ihren Traffic brav im apache log loggen :)

    Checke mal mit netstat -tap was da so auf diesen beiden Ports läuft.
     
  7. Falcon37

    Falcon37 New Member

    netstat -tap zeigt zumindestens momentan an, das nichts auf den Ports läuft.
     
  8. planet_fox

    planet_fox Super-Moderator

    Ist die auslastung immer ncoh so hoch ?
     
  9. Falcon37

    Falcon37 New Member

    Ja ist immer noch so hoch
     
  10. Hoster

    Hoster New Member

    hast Du jetzt gefunden woran es lag ?
     
  11. Falcon37

    Falcon37 New Member

    Ja war doch ein Angriff, Traffic war auch ziemlich hoch wie ich später erfahren habe, mein Anbieter hatte aber falsche Traffic-Stats angezeigt. Problem hält aber noch an, muss mir war wirksames einfallen lassen......
     

Diese Seite empfehlen