Hallo,
ich vermute, dass phpbb heute meinen Server so zum Stillstand
gebracht hat, dass ich den Reset-Knopf druecken musste, um ihn
wieder zum Leben zu erwecken.
Ich frage mich, wie das passieren konnte, komme aber nicht
weiter. Was ich herausgefunden habe:
In der access.log-Datei von apache stehen zur fraglichen Zeit von
einer einzigen IP-Adresse innerhalb von 2 Minuten ca. 110
GET-Anfragen mit 25! verschiedenen "sid=..."-Kennungen.
In der Log-Datei von mysql stehen zur selben Zeit innerhalb
von 2 Sekunden! ca. 80 Mal die Zeilen
"CONNECT mysqldbuser@hostname on
Init DB forumsdbname
Query select * from phpbb_config..."
In /var/log/messages deutet der Kernel an, dass ihm der
Speicher ausgeht (was ich nicht glauben kann, denn eingebaut
sind 512MB + 512MB Swap und auf dem Server laeuft nur das
Forum) und er darum Prozesse beendet ("VM: killing process php")
und apache meldet, dass zu viele Clients laufen (wieviele es
maximal sein duerfen, kann ich nicht finden).
Ich verstehe vor allem nicht, wie es zu den 110 GET-Anfragen
mit den 25 verschiedenen sids kommt. Kann es sich bei dem
Rechner z.B. um einen NAT-Router handeln, hinter dem z.B. ein
Schulungsraum mit 25 Rechnern steckt, wo gerade eine Schulung
lief und der Dozent hat gesagt: "...und jetzt sehen wir uns alle
mal das Forum xyz an"?
Sollten phpbb und mysql nicht solch einen "Ansturm" verkraften
koennen?
Aehnliche Probleme hatte ich in den letzten 10 Tagen 2 Mal.
Was kann ich tun, um der Ursache auf den Grund zu gehen?
Ich habe hier im Forum gesucht, aber nichts passendes gefunden.
Fuer Tipps und Hinweise bin ich dankbar.
Tschuess
Karl
Absturz von phpbb - Warum?
Forumsregeln
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
phpBB 2.0 hat das Ende seiner Lebenszeit überschritten
phpBB 2.0 wird nicht mehr aktiv unterstützt. Insbesondere werden - auch bei Sicherheitslücken - keine Patches mehr bereitgestellt. Der Einsatz von phpBB 2.0 erfolgt daher auf eigene Gefahr. Wir empfehlen einen Umstieg auf phpBB 3.1, welches aktiv weiterentwickelt wird und für welches regelmäßig Updates zur Verfügung gestellt werden.
Hallo,
mein Server leidet immer noch unter Ausfaellen.
Mittlerweile habe ich den Verdacht, dass es sich dabei um
einen Denial of Service Angriff handeln koennte.
In der access.log-Datei von apache stehen zur fraglichen Zeit von
je einer einzigen IP-Adresse (z.B. 62.180.244.232 oder 198.36.86.68 ueber
die ich nichts herausfinden kann) innerhalb von 1-2 Minuten ueber 100
Anfragen immer im Wechsel nach index.php, memberlist.php, search.php
und faq.php.
Das fuehrt zu zahlreichen php-Prozessen, die die CPU jeweils zu einigen
Prozent belasten. In der Summe ist die CPU dann zu 100% ausgelastet,
der Rechner steht und erholt sich davon nicht.
Wie kann ich mich dagegen wehren? Kann ich z.B. einstellen, dass
der apache zwischen den Anfragen von einer IP-Adresse mindestens
5 Sekunden mit der Antwort wartet?
Kann ich die Anzahl der maximal laufenden php-Prozesse begrenzen
auf z.B. 15?
In der phpBB Konfiguration finde ich ausser dem Flood-Intervall nichts.
Tschuess
Karl
mein Server leidet immer noch unter Ausfaellen.
Mittlerweile habe ich den Verdacht, dass es sich dabei um
einen Denial of Service Angriff handeln koennte.
In der access.log-Datei von apache stehen zur fraglichen Zeit von
je einer einzigen IP-Adresse (z.B. 62.180.244.232 oder 198.36.86.68 ueber
die ich nichts herausfinden kann) innerhalb von 1-2 Minuten ueber 100
Anfragen immer im Wechsel nach index.php, memberlist.php, search.php
und faq.php.
Das fuehrt zu zahlreichen php-Prozessen, die die CPU jeweils zu einigen
Prozent belasten. In der Summe ist die CPU dann zu 100% ausgelastet,
der Rechner steht und erholt sich davon nicht.
Wie kann ich mich dagegen wehren? Kann ich z.B. einstellen, dass
der apache zwischen den Anfragen von einer IP-Adresse mindestens
5 Sekunden mit der Antwort wartet?
Kann ich die Anzahl der maximal laufenden php-Prozesse begrenzen
auf z.B. 15?
In der phpBB Konfiguration finde ich ausser dem Flood-Intervall nichts.
Tschuess
Karl
Hallo,
durch Aenderungen in /etc/apache2/server-tuning.conf
ist es mir offensichtlich gelungen, dafuer zu sorgen,
dass die "Angriffe" meinen Server nicht mehr lahm legen.
Seit mehr als 10 Tagen laeuft der Server jetzt, obwohl
zwischendurch auch immer mal wieder bis zu 700 Anfragen
in 10 Minuten von einer einzigen IP-Adresse kamen.
Tschuess
Karl
durch Aenderungen in /etc/apache2/server-tuning.conf
ist es mir offensichtlich gelungen, dafuer zu sorgen,
dass die "Angriffe" meinen Server nicht mehr lahm legen.
Seit mehr als 10 Tagen laeuft der Server jetzt, obwohl
zwischendurch auch immer mal wieder bis zu 700 Anfragen
in 10 Minuten von einer einzigen IP-Adresse kamen.
Tschuess
Karl
-
Stingray1963
-
IPB_Flüchtling
- Mitglied
- Beiträge: 1862
- Registriert: 23.12.2004 22:46
Es gibt Listen, aber die sind sehr lange (und nicht immer aktuell und niemals vollständig). Zum Beispiel kannst Du Dich hier umschauen:schock hat geschrieben:gibt es irgendwo eine Liste, welche IP-Adressen man blockieren sollte?
http://www.abakus-internet-marketing.de ... m.php?f=52
Ich würde Dir auch empfehlen, die www.spider-trap.de zu installieren.
LG, Wolfgang
Das hier sieht mir nach ner Wurmattacke aus. Hat dann nen DoS Charakter und legt die Seite schnell lahm. Abhilfe hier schafft mein CrackerTracker MOD. Kannst Du Dir auf www.cback.de herunterladen (CBACK Software > phpBB2 Mods) oder in der phpBB.de Mod Datenbank. Der fängt solche Anfragen ab. Wenn es sich also um Wurmangriffe handelt wird das Dein Problem lösen. Bei BadClients ebenso.
CBACK Software
professionelles Webdesign - PHP Programmierung - Entwicklung von Modifikationen - Forensysteme
professionelles Webdesign - PHP Programmierung - Entwicklung von Modifikationen - Forensysteme
-
Sir Charles
- Mitglied
- Beiträge: 371
- Registriert: 23.01.2006 11:27
- Wohnort: Wien
- Kontaktdaten:
Ich grab mal dieses Thema wieder aus, weil wir momentan ein sehr ähnlich gelagertes Problem haben:
Unser Server (wir teilen ihn mit 2 anderen Foren) wurde in letzter Zeit durch DoS - Attacken in schöner Regelmäßigkeit lahmgelegt. Wir sind dann auf einen neuen Server umgezogen (beim selben Provider), doch auch da wurden die Ausfälle nicht weniger.
Gestern konnte mein Server-Admin (also derjenige, dem dieser root-Server gehört und der mir den Platz dort zur Verfügung stellt) feststellen, daß die Serverausfälle einzig und alleine durch mein Forum ausgelöst wurden.
Die Attacken richten sich ausschließlich gegen die posting.php meines Forums. Wir haben die Datei jetzt mal verschoben und: alles läuft einwandfrei, keine Abstürze...aber logischerweise geht das Posten nicht mehr...
Ein Komplettverschieben des Forums wär nur eine temporäre Lösung, alle oben geposteten Maßnahmen wurden von meinem Server-Admin schon ohne Lösung ergriffen...
Ist in dem Fall auch der CrackerTracker das Mittel der Wahl, um diese Angriffe zu unterbinden?
Unser Server (wir teilen ihn mit 2 anderen Foren) wurde in letzter Zeit durch DoS - Attacken in schöner Regelmäßigkeit lahmgelegt. Wir sind dann auf einen neuen Server umgezogen (beim selben Provider), doch auch da wurden die Ausfälle nicht weniger.
Gestern konnte mein Server-Admin (also derjenige, dem dieser root-Server gehört und der mir den Platz dort zur Verfügung stellt) feststellen, daß die Serverausfälle einzig und alleine durch mein Forum ausgelöst wurden.
Die Attacken richten sich ausschließlich gegen die posting.php meines Forums. Wir haben die Datei jetzt mal verschoben und: alles läuft einwandfrei, keine Abstürze...aber logischerweise geht das Posten nicht mehr...
Ein Komplettverschieben des Forums wär nur eine temporäre Lösung, alle oben geposteten Maßnahmen wurden von meinem Server-Admin schon ohne Lösung ergriffen...
Ist in dem Fall auch der CrackerTracker das Mittel der Wahl, um diese Angriffe zu unterbinden?
