Apache startet immer neu

[Konnekty]

Hallo zusammen,

bei meinem vServer (verwaltet mit Plesk) startet Apache immer neu, weshalb ich von dem "Watchdog" regelmäßig folgende Mails erhalte

"The Web Server (Apache) service on host xyz is down."

"The Web Server (Apache) service on host xyz has been released from monitoring on DD MM YYYY ."

An was kann dies liegen? Wo finde ich nähere Infos zu den Gründen (welche Logdateien)? Wie kann ich es beheben? - Auch ein Neustart hat nichts geholfen.

Grüße
Tom

 

[Armadillo]

Ein Serverrestart ist grundsätzlich kein sinnvoller Lösungsansatz. Das sind Maßnahmen die man zu allerletzt ergreifen sollte.

Die Apache-Logfiles liegen bei Linux grundsätzlich in /var/log. Dort gibt es dann entweder einen Ordner "apache(2)" oder "httpd" und darin liegen access und error log. Wichtig wäre hier ein Auszug aus dem error_log genau zu dem Zeitpunkt an dem er neugestartet hat.

 

[linmatz]

Hallo zusammen,

ich würde gerne diesen Thread wiedereröffnen.

Auch bei mir startet der Apache mehr oder minder regelmäßig neu.
Konfiguration: Apache 2.2.8 Ubuntu, Plesk 9.3

Die Symptome sind die gleichen: Watchdog meldet regelmäßig nach folgendem Schema

The Web Server (Apache) service on host www.xxx.de is down.
The problem was discovered on Feb 24, 2010 01:04 AM.

The Web Server (Apache) service on host www.xxx.de has been started on Feb 24, 2010 01:09 AM.

Hier ein paar Auszüge aus den Logs:

[Wed Feb 24 00:10:20 2010] [error] [client 67.43.5.33] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind
[Wed Feb 24 00:36:50 2010] [error] [client 77.104.217.233] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind
[Wed Feb 24 01:04:14 2010] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Wed Feb 24 01:04:39 2010] [notice] caught SIGWINCH, shutting down gracefully
[Wed Feb 24 01:04:45 2010] [emerg] (22)Invalid argument: mod_fcgid: can't get lock, pid: 32756
[Wed Feb 24 01:04:50 2010] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Wed Feb 24 01:04:50 2010] [warn] RSA server certificate CommonName (CN) `plesk' does NOT match server name!?

[Tue Feb 23 10:20:47 2010] [warn] Init: You should not use name-based virtual hosts in conjunction with SSL!!
[Tue Feb 23 10:20:47 2010] [notice] Apache/2.2.8 (Ubuntu) mod_python/3.3.1 Python/2.5.2 PHP/5.2.4-2ubuntu5.10 with Suhosin-Patch mod_ssl/2.2.8 OpenSSL/0.9.8g mod_perl/2.0.3 Perl/v5.8.8 configured -- resuming normal operations
[Tue Feb 23 10:23:07 2010] [notice] caught SIGWINCH, shutting down gracefully
[Tue Feb 23 10:25:59 2010] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Tue Feb 23 10:25:59 2010] [warn] RSA server certificate CommonName (CN) `plesk' does NOT match server name!?

[Sun Feb 21 10:50:15 2010] [error] [client 83.169.11.127] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /w00tw00t.at.ISC.SANS.DFind
[Sun Feb 21 17:31:43 2010] [error] [client 67.218.116.133] File does not exist: /var/www/vhosts/default/htdocs/robots.txt
[Sun Feb 21 20:31:46 2010] [notice] caught SIGWINCH, shutting down gracefully
[Sun Feb 21 20:31:49 2010] [emerg] (22)Invalid argument: mod_fcgid: can't get lock, pid: 13854
[Sun Feb 21 20:32:02 2010] [warn] Init: Session Cache is not configured [hint: SSLSessionCache]
[Sun Feb 21 20:32:02 2010] [warn] RSA server certificate CommonName (CN) `plesk' does NOT match server name!?

So wie es für mich ausschaut, ist der SIGWINCH vollkommen zusammenhanglos mit der vorhergehenden Meldungen. Eine Vermutung wäre, dass Watchdog den Apache Status nicht korrekt erkennt und vll den SIGWINCH auslöst. Aber das sind nur Vermutungen.

Ich hoffe einer von euch weiß mehr!

Danke&Gruß
LinMatz

 

[Thorsten]

Hallo!
Ich würde mir als Erstes mal den Eintrag

[Wed Feb 24 01:04:14 2010] [error] server reached MaxClients setting, consider raising the MaxClients setting

vornehmen. Wie sieht deine Einstellung bezüglich MaxClients aus? Hast du eventuell ein Ressourcen Problem?

mfG
Thorsten

 

[Ricko]

Scheinbar wirst du derzeit auch angegriffen.
Ich würde mir noch folgendes Thema ansehen:

Attacken im Apache / w00tw00t

Hi Leute, hab mir vor nem Monat einen vRootserver bei Strato geholt, weil der billiger als ein Managed Gameserver war und hab da meinen HL2DM Gameserver drauf gehostet (ich muss dazu sagen, die Installation des Gameservers hat ein paar Tage gedauert, weil ich vorher nie was mit Linux zu tun...

serversupportforum.de

 

[linmatz]

@Thorsten: Die MaxClients anzupassen hat das Problem nicht gelöst

@Ricko: Korrekt, das sind die nervigen Scans nach möglichen Angriffsstellen.

Eine Vermutung wäre in der Tat, dass die Scans von Zeit zu Zeit den Apache so stressen, dass der Watchdog innerhalb des Timeouts keine Antwort bekommt und ihn daraufhin neustartet.

@Ricko: Danke für den Link. Aber wie auch in dem Thread schon steht eine wirkliche Lösung dazu gibt es nicht oder hast du eine?

 

[Deleted member 4401]

Wirf mal eine Blick auf mod security: http://modsecurity.org/
Blockiert auch automatische Requests anhand des User Agents (z.B. libwww), eigene Regeln sind falls nötig auch recht einfach zu erstellen.
Normalerweise werden Scans dann recht schnell abgebrochen wenn nur Fehlermeldungen zurückgegeben werden, falls nicht wäre mod antiloris eine Option. Eigentlich als Abwehr gegen Slowloris-Angriffe gedacht, aber es lässt sich auch wunderbar einfach für "Max. Connections / IP" Settings nutzen....für Debian bzw. Debian-Derivate lässt es sich in den Repositories finden, ansonsten nach dem Source Paket googlen.

 

[linmatz]

So, ich habe nun mod-security installiert und konfiguriert. Ich vermute allerdings, dass mod-evasive noch passender ist und hab es ebenfalls eingerichtet.

Bisher ist ales ruhig, keine false-positives in den Logs und kein unerwünschter Restart. Ich behalte das mal im Auge. Danke für eure Tipps!

 

[Deleted member 4401]

Am Besten wäre wohl mod antiloris UND mod evasive, da beide Module einen anderen Ansatz verfolgen:
Mod evasive limitiert die Requests/sec während mod antiloris die gleichzeitigen Requests/IP limitiert...falls also mod evasive aufgrund zu "langsamer" Requests nicht anspringt würde mod antiloris einspringen.