Apache Down?!

M

menki

Registered User
Hallo Leute

Heute in der früh stellte ich fest mein Apache Webserver hat sich einfach abgeschaltet. Ein normaler /etc/init.d/apache2 start genügte und er startete ohne Probleme. Die Logs sagen dieses aus:

Code: 
[Wed Dec 24 04:11:40 2008] [notice] child pid 20323 exit signal Segmentation fault (11)
[Wed Dec 24 04:20:20 2008] [error] [client 81.169.186.77] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind:)
[Wed Dec 24 04:21:40 2008] [notice] child pid 2287 exit signal Segmentation fault (11)
[Wed Dec 24 04:31:40 2008] [notice] child pid 1590 exit signal Segmentation fault (11)
[Wed Dec 24 04:41:41 2008] [notice] child pid 2950 exit signal Segmentation fault (11)
[Wed Dec 24 04:51:40 2008] [notice] child pid 9334 exit signal Segmentation fault (11)
[Wed Dec 24 05:02:39 2008] [notice] child pid 9968 exit signal Segmentation fault (11)
[Wed Dec 24 05:11:40 2008] [notice] child pid 15947 exit signal Segmentation fault (11)
[Wed Dec 24 05:14:27 2008] [error] [client 66.249.71.133] ModSecurity: Access denied with code 400 (phase 2). Invalid URL Encoding: Non-hexadecimal digits used at REQUEST_URI. [file "/etc/modsecurity2/modsecurity_crs_20_protocol_violations.conf"] [line "60"] [id "950107"] [msg "URL Encoding Abuse Attack Attempt"] [severity "WARNING"] [tag "PROTOCOL_VIOLATION/EVASION"] [hostname "dutchmach.menkisys.net"] [uri "/forumrakovcani2/index.php"] [unique_id "ILKwMFt5j78AAED3aYgAAAAC"]
[Wed Dec 24 05:21:40 2008] [notice] child pid 16631 exit signal Segmentation fault (11)
[Wed Dec 24 05:29:21 2008] [error] [client 77.239.10.112] ModSecurity: Access denied with code 500 (phase 2). Pattern match "\\.(?:c(?:o(?:nf(?:ig)?|m)|s(?:proj|r)?|dx|er|fg|md)|p(?:rinter|ass|db|ol|wd)|v(?:b (?:proj|s)?|sdisco)|a(?:s(?:ax?|cx)|xd)|d(?:bf?|at|ll|os)|i(?:d[acq]|n[ci])|ba(?:[kt]|ckup)|res(?:ources|x)|s(?:h?tm|ql|ys)|l(?:icx|nk|og)|\\w{0,5}~|webinfo|ht[rw]|xs[dx]| ..." at REQUEST_BASENAME. [file "/etc/modsecurity2/modsecurity_crs_30_http_policy.conf"] [line "97"] [id "960035"] [msg "URL file extension is restricted by policy"] [severity "CRITICAL"] [tag "POLICY/EXT_RESTRICTED"] [hostname "**-clan.menkisys.net"] [uri "/images/userpics/Thumbs.db"] [unique_id "VgH5@Ft5j78AAEOGbasAAAAL"]
[Wed Dec 24 05:31:38 2008] [notice] child pid 8680 exit signal Segmentation fault (11)
[Wed Dec 24 05:41:38 2008] [notice] child pid 23140 exit signal Segmentation fault (11)
[Wed Dec 24 05:50:37 2008] [notice] child pid 17286 exit signal Segmentation fault (11)
[Wed Dec 24 06:00:40 2008] [notice] child pid 23845 exit signal Segmentation fault (11)
[Wed Dec 24 06:10:39 2008] [notice] child pid 30212 exit signal Segmentation fault (11)
[Wed Dec 24 06:20:39 2008] [notice] child pid 31008 exit signal Segmentation fault (11)
[Wed Dec 24 06:29:51 2008] [notice] caught SIGTERM, shutting down
[Wed Dec 24 06:29:56 2008] [notice] ModSecurity for Apache/2.5.6 (http://www.modsecurity.org/) configured.
[Wed Dec 24 06:29:56 2008] [notice] Original server signature: Apache/2.2.3 (Debian)
[Wed Dec 24 06:29:57 2008] [notice] suEXEC mechanism enabled (wrapper: /usr/lib/apache2/suexec)
[Wed Dec 24 06:29:58 2008] [notice] FastCGI: wrapper mechanism enabled (wrapper: /usr/lib/apache2/suexec)
[Wed Dec 24 06:29:58 2008] [notice] FastCGI: process manager initialized (pid 3026)
[Wed Dec 24 06:29:58 2008] [warn] FastCGI: server "/var/www/fcgi/master/php5-fcgi-starter" (uid 2000, gid 2000) started (pid 3030)
[Wed Dec 24 06:29:58 2008] [notice] Apache/2.2.0 (Fedora) mod_fastcgi/2.4.2 mod_watch/4.3 configured -- resuming normal operations
[Wed Dec 24 06:30:05 2008] [warn] child process 3038 still did not exit, sending a SIGTERM
[Wed Dec 24 06:30:07 2008] [warn] child process 3038 still did not exit, sending a SIGTERM
[Wed Dec 24 06:30:10 2008] [warn] child process 3038 still did not exit, sending a SIGTERM
[Wed Dec 24 06:30:12 2008] [error] child process 3038 still did not exit, sending a SIGKILL
[Wed Dec 24 06:30:13 2008] [notice] caught SIGTERM, shutting down

Der Server verwaltet über 800 Domains und hatt im durchschnitt 10% CPU LAST. Habe in der apache2.conf diese einstellungen:

Code: 
<IfModule mpm_prefork_module>
    StartServers          5
    MinSpareServers       5
    MaxSpareServers       10
    MaxClients            150
    MaxRequestsPerChild   0
</IfModule>

Was meint Ihr wo liegt der Fehler? Ich wollte mal testweise alles höher setzen in den oben gelisteten Einstellungen.

Danke für jeden Vorschlag

MENKI
 
Hallo,

Also diese Fehlermeldung sieht nicht gut aus:
Code: 
exit signal Segmentation fault (11)
Jedoch läßt sich nicht genau erkennen was jetzt der wirkliche Fehler war. Du solltest das Loglevel kurzzeitig mal höher setzen damit der Server genauere Angaben über den Fehler liefern kann.

Bei 800 Domains (:eek:) finde ich den Wert für die MaxSpareServers ein bisschen niedrig. Huschi hat eine gute Doku geschrieben, wie man am besten den Apache tunen kann: Hochleistungs-Apache: Performance-Tuning - huschi.net
 
Re:

Intel Dualcore 4 MB Cache, 2x 2,3 GHZ
4 GB RAM
2x 750GB HD

Hmm habe jetzt diese Werte eingestellt:

Code: 
<IfModule mpm_prefork_module>
    StartServers          15
    MinSpareServers       15
    MaxSpareServers       50
    MaxClients            300
    MaxRequestsPerChild   0
</IfModule>

Bis dato läuft der Server durch ohne Probleme. Ja meine Community läuft ja mittlerweile seit 50 Tagen ohne unterbrechung durch. :)

ICh werde mal den Log-Level höher setzen und dann schauen was er alles so mitschreibt. Diese prefork Einstellungen sind ja seit Anfang so eingestellt und bei 800 Domains vemute ich mal das ihm das zuviel wurde.

Die höheren Werte werden mir hoffentlich helfen.
Die Average CPU ist bei gerade mal 6% und ram bei 23% belastet. Der Server ist wirklich stark. Genau um 06:30 UHR wurde ein Backup gestartet- duplicity. Ich glaube nicht das der irgendetwas damit zutun hat.

Noch Ideen?

MENKI
 
menki said:
ICh werde mal den Log-Level höher setzen und dann schauen was er alles so mitschreibt.
Click to expand...
Kleiner Tipp: Bei einem hohen Loglevel entstehen sehr schnell sehr große Logs. Also vielleicht nicht über einen zu großen Zeitraum mitloggen :)

Obs am Backup liegt oder nicht werden wir dann morgen um 6.30 Uhr sehen :)
 
re:

Habe den Backup auf 22:30 eingestellt. Dann werde ich auch das Log-Level auf "Debug" stellen.

Wo kann ich den sehen ob bei mir Prefork oder Worker am alufen ist ??

DANKE

MENKI
 
Da Du bei menkisys auf ISPCP setzt,sollte in der Standardinstallation der worker mit drin sein, ausser Du hast das Paketfile bei der Installation verändert.

Welches Betriebssystem fährst Du?
 
Re:

Debian ist Standard bei mir....

Wenn worker schon drinnen ist dann nutzen mir die prefork Einstellungen absolut nichts.
Ich starte jetzt mal das Backup und schau live mit was passieren wird.
Ein Backup was über komplett andere Programme rennt hat ja nichts mit Apache zu tun.

Nein habe nichts verändert bei der install. Habe die RC6 Version drauf. :)

Was sollte ich bei worker den einstellen bei ca. 800 Domains? Habe die Werte schon deutlich höher gesetzt! Z.b. war StartServers nur 2 drinnen, und MaxClients 150. Ich vermute das ist schon etwas wenig für so viele User. Habe 600 000 Pageviews/Monat. Derzeit ist dieses eingestellt:

Code: 
<IfModule mpm_worker_module>
    StartServers          5
    MaxClients          300
    MinSpareThreads      50
    MaxSpareThreads     100
    ThreadsPerChild      50
    MaxRequestsPerChild   0
</IfModule>

KeepAlive ist ON! ??

Habe aber auch vor kurzem das mod_spamhaus Modul installiert. Dieses blockt alle Spammer IPs ab, und hat sich in den letzten Wochen eigentlich gut gezeigt. Dieses ist seit ca. 2 Wochen online bei mir.
Dieses könnte ja auch dieses Problem verursachen?!

MENKI
 
Last edited by a moderator:
You must log in or register to reply here.
Back
Top