[3.3] Zuviele PHP-Prozesse?

[Hexe_Mol]

Guten Morgen,

ich hätte da gerne mal wieder ein Problem....
In einem Forum mit sehr begrenztem Nutzerkreis http://www.nabu-petershagen-eggersdorf.de/forum gibt es schon seit Wochen immer wieder mal Probleme mit extrem langen Ladezeiten beim Aufruf der index.php.

Bis vor ca. 10 Tagen lief Version 3.2 , seitdem 3.3, das hat aber an den Ladezeiten-Problemen nichts geändert.
Teilweise mit 503-Fehler, teilweise wird die Seite normal geladen, teilweise mit einer Geschwindigkeit, wie zu Zeiten des Akustikkopplers....
Ich habe dann unseren Hoster angeschrieben und folgende Antworten erhalten:

haben Sie in ihrer Forensoftware ggf. ein Sicherheitsplugin o.a. aktiv, die ggf. externe Inhalte abrufen? Hier wird offenbar auf genau solche gewartet - und wenn dieser Server nicht oder nur verzögert erreichbar ist, wirkt sich das natürlich auch auf die Seitenladezeit aus.

Daraufhin habe ich mir die Liste der Erweiterungen angeschaut und "viglink" deaktiviert.
Ansonsten nutzen wir nur noch "Simple WYSIWYG" und "File Download".
Verbessert hat die Deaktivierung von viglink nichts, also nochmal Kontakt mit dem Hoster aufggenommen und diese Antworten erhalten:

in den letzten Tagen gab es scheinbar Angriffe auf Ihre Webseite mit vielen Zugriffen in kurzer Zeit. Dadurch kam es zu vielen laufenden PHP-Prozessen und somit geriet der Account unter anderem in sein Prozesslimit.

Es liefen Bruteforce Attacke gegen das Skript /var/www/web22947986/html/forum/adm/index.php (nabu-petershagen-eggersdorf.de)
Dies kann sogar im access_log (zu finden per FTP im Verzeichnis /log) nachvollzogen werden.

Hier sollten Sie einmal prüfen, inwieweit eine Absicherung gegen derlei Attacken erfolgen kann. Kontaktieren Sie dazu bitte mal den Hersteller Ihrer Forensoftware.

das ist dieselbe Ursache bei den genannten Zeitpunkten.

Hier werden viele PHP-Prozesse gestartet und nicht rechtzeitig geschlossen, um neue Verbindungen zuzulassen (Prozesslimit).

Was mich sehr stutzig macht:
In der error.log, die ich per FTP aus dem log-Verzeichnis gefischt habe, stehen unzählige Einträge

Code: Alles auswählen

"2020-03-03T07:34:37+00:00	INFO 27.46.86.203	joomlafailure	Benutzername und Passwort falsch oder das Benutzerkonto existiert noch nicht!""

Lediglich das Datum und die IP-Adressen variieren. Nach meinem Verständnis sind das doch Attacken gegen die Joomla-Installation (die auf dem selben Webspace gehostet wird und auf deren Basis die Webseite läuft) und nicht gegen das phpbb-Forum. Wogegen die Aussage des Hosters, dass das Script "/var/www/web22947986/html/forum/adm/index.php" attackiert würde, ja wiederum für Angriffe auf die Forensoftware sprechen.

Hat irgendjemand eine Idee, was da schief laufen könnte?

P.S: Zugangsdaten für ein Foren-Testmitglied kann ich bei Bedarf. gerne per PN zur Verfügung stellen

[oxpus]

Naja, da versuchen wohl Angreifer in deinen Admin Bereich zu gelangen.
Um diesen zusätzlich zu sichern, kannst du einen Verzeichnisschutz auf den Ordner /var/www/.../html/forum/adm/ einrichten, dann kann kein unbefugter Dritter mehr die index.php aufrufen.
Das Forum sollte danach auch wieder stabiler laufen können, wenn die häufigen Zugriffe auf den ACP zur Zeit die Hauptursache sind.

[Hexe_Mol]

Danke für die schnelle Antwort!

Naja, da versuchen wohl Angreifer in deinen Admin Bereich zu gelangen.

Was mich so extrem stutzig macht:
Aus meiner - laienhaften - Sicht passen die Aussagen des Hoster-Supports und die Einträge in der error.log nicht zusammen.
Aber es schadet sicher eine gute Idee, einen Verzeichnisschutz einzurichten. Gleich mal schauen, wie ich das hinbekomme....

[oxpus]

Dein Auszug stammt aus dem error.log-File, dein Hoster meinte aber das access.log-File.
Eine Fehlermeldung gibt es ja nicht im Log-File des Webservers, wenn ein User sich nicht irgendwo anmelden kann.
Das protokolliert ja wenn dann die betreffende Anmeldung selber.
Und auch wenn das jetzt nicht hier hin gehört:
Wenn in deiner error.log auch viele Einträge für Joomla vorhanden sind, solltest du aber auch dort prüfen, wie du das Verzeichnis für den Admin-Zugang absichern zusätzlich kannst und auch bei beiden Systemen gilt: Update und Backup nie vernachlässigen oder gar unnötig lange aufschieben.

[Hexe_Mol]

Dein Auszug stammt aus dem error.log-File, dein Hoster meinte aber das access.log-File.

das access.log-file war leider auf dem server nicht verfügbar, ich hab es jetzt beim hoster angefordert.

inzwischen habe ich sowohl für joomla, als auch fürs phpbb die admin-verzeichnisse per htaccess zusätzlich geschützt. natürlich mit unterschiedlichen zugangsdaten.
danke für den denkanstoß!

ich werde berichten, ob das forum nun stabiler / schneller läuft.