Dienste werden beendet - watchdog meldet regelmäßig Fehler

[ITMueller]

Hallo,

bei mir meldet watchdog regelmäßig Probleme mit der SpamAssassin, dass der Dienst down ist. Manchmal auch mit dem IMAP / POP3 Server (Courier-IMAP). In der Regel wird dann der Dienst wieder gestartet und alles ist toll...

Aber erstens ist das viel zu häufig (mehrmals am Tag) und zweitens wird auch manchmal gemeldet, dass dein Dienst von der Überwachung ausgenommen wurde.

Auf dem Server habe ich bereits einige Sicherheitslücken auf den Kundenseiten geschlossen, die dafür verantwortlich waren. Außerdem Hack Skripte gelöscht.

Was ich weiß: SSH Terminal ist sicher, Plesk Login eigentlich auch, Passwörter sind neu und "sicher". Die Sicherheitslücken auf den Seiten die ich gefunden habe scheinen gestopft und nicht mehr zu funktionieren (wenn ich sie jedenfalls teste).

Was ich nicht weiß: wie finde ich heraus wer und wie er die Dienste beendet? Ich habe gerade mal die .bash_history von root durchgesehen - sauber. Mehr sind nicht.

Wie komm ich dem Problem bei? Ich werd nämlich noch verrückt wenn das so weiter geht...

Irgendwer fummelt da rum und ich weiß nicht wer / wie. Wie ernüchternd.

Ich nutze Plesk 8.2.1 und OS SuSE Linux 10.0

 

[LinuxAdmin]

Abgesehen davon, dass ich den Server lieber komplett neu installieren würde, wenn ich mehrere(!) Einbrüche hatte und nicht klar ist, ob irgendwelche Exploits benutzt wurden, um root-Rechte zu erlangen, würde ich in den Logfiles nachschauen, ob nicht vielleicht irgendwelche Ressourcen-Probleme dazu führen, dass die Programme beendet werden.

Viele Grüße,
LinuxAdmin

PS: in den Logfiles oder ~root/.bash_history die Folgen von root-Exploits zu finden ist ein äußerst seltenes Glück -- ein Cracker, der nur etwas auf sich hält, räumt auf....

 

[Huschi]

wer und wie er die Dienste beendet?

Im Zweifelsfall das System aus Speichermangel.
Ein Blick in die entsprechenden Logfiles und dem userbeancounter könnte schon helfen.

huschi.

 

[ITMueller]

Das Dumme ist ja, dass ich z.B. bei "top" nix sehe. Idle ist meistens ~90% und mehr. Im Durchschnitt macht er laut den Stats nix. Ist aber trotzdem sau lahm nach ner gewissen Zeit nach einem Reboot. Nach einem Reboot läuft er so wie er soll - schnell und ohne Probleme. Und dann wird halt regelmäßig die SpamAssassin gekillt...

Mit dem neu aufsetzen wollt ich eigentlich nicht unbedingt, aber es muss ja laufen und wenns nicht anders geht... -.-

Hier die userbeancounters. Wenn ich wüsste wo ich in den Logs was brauchbares finde (die logs sehen für mich soweit okay aus)...

/ # cat /proc/user_beancounters
Version: 2.5
       uid  resource           held    maxheld    barrier      limit    failcnt
     17992: kmemsize        5946188    5991131   33556806   36875611          0
            lockedpages           0          0       1377       1377          0
            privvmpages       83151      83412     279000     300000          0
            shmpages           8389       8389      50000      50000          0
            dummy                 0          0          0          0          0
            numproc              67         67        688        688          0
            physpages         34129      34221          0 2147483647          0
            vmguarpages           0          0     131072 2147483647          0
            oomguarpages      34178      34270     131072 2147483647          0
            numtcpsock           28         28        688        688          0
            numflock             11         11       1000       1100          0
            numpty                1          1         68         68          0
            numsiginfo            0          1       1024       1024          0
            tcpsndbuf        254904     245960    6584420    9402468          0
            tcprcvbuf        458752     442368    6584420    9402468          0
            othersockbuf      37296      38184    3292210    6110258          0
            dgramrcvbuf           0          0    3292210    3292210          0
            numothersock         34         39        688        688          0
            dcachesize            0          0    6155930    6340608          0
            numfile            2738       2756      11008      11008          0
            dummy                 0          0          0          0          0
            dummy                 0          0          0          0          0
            dummy                 0          0          0          0          0
            numiptent            14         14 2147483647 2147483647          0

Das beender der Diensteüberwachung lag am "falsch" eingestellten Watchdog. Aber das beenden selbst? Wo und wie guck man das am Besten nach?

 

[Huschi]

Folgende Gegenfragen:
a) Wie lange läuft der Server nun schon und wie viele Ausfälle hatte er seit dem?
b) Sind es reale Ausfälle oder läuft der Plesk-Watchdog (welche Plesk Version???) nur Amok.

Letzteres sollte aus den Logfiles der jeweiligen Dienste hervorgehen, ob die wirklich neu gestartet worden sind.

huschi.

 

[ITMueller]

Danke für die Ansätze Huschi, gucke ich mal nach.

Habe parallel gestern Abend mal beim HE Support eine Meldung abgesetzt. Hier mal die Antwort die ich bekommen habe:

>Dienste quittieren häufig
> einfach so ihren Dienst (Watchdog Meldung)

Der Watchdog ist leider sehr ungenau wenn dieser und auch die Dienste die kontrolliert werden nicht entsprechend konfiguriert sind.

Die MaxClients Einstellung des Webservers und auch die Anzahl der maximalen Childs des SpamAssassin waren zu niedrig. Sind alle "Plätze" belegt denkt der Watchdog das der Dienst nicht mehr laufen würde und startet diesen neu. Ich habe dies für den Webserver und SpamAssassin nun angepasst.

> und der Server ist sehr langsam obwohl die Auslastung von RAM und CPU
> sehr gering ist. Bitte um Hilfe.

Aktuell schwankt die Systemlast sehr stark da auch andere Systeme eine hohe Last auf dem Wirtsystem verursachen, dies ist für virtuelle Systeme dieser Art jedoch normal.

Also im Moment (!) scheint es besser zu laufen. Ob es dauerhaft besser ist kann ich noch nicht sagen.

Mag das so stimmen was der Supp mir da geschrieben hat? Dachte eigentlich nicht dass ich so viele Zugriffe habe...

 

[memed]

Mag das so stimmen was der Supp mir da geschrieben hat? Dachte eigentlich nicht dass ich so viele Zugriffe habe...

Hallo,

warum glaubst du dem Support nicht uneingeschränkt oder machst dir selber die Mühe dein Problem zu analysieren, wenn das Ergebnis der anderen dir nicht passt?
Ich sehe bei dir ungläubiges Zweifel bei einer Sache, von der du nicht so viel Ahnung zu haben scheinst? Ich denke, dass du dein Problem in deinen Logdateien finden wirst. Ich bin auch so direkt und gebe dir Tips, aber ich befürchte, ohne das Verständnis was das Problem ist und wie du es selber herausfinden kannst, das dir nicht so viel nutzt:

Der Befehl "grep -i 'maxclient' /var/log/apache2/error_log' zeigt, ob du mehr Zugriffe als Clients im Apache hattest.

Die Meldungen von Spamassain findest du im Maillog unter /var/log/mail.*, ein "grep -i spamas /var/log/mail.*" gibt sie dir aus. Hier sollte aber generell das Erhöhen des Timeouts auf ~250 Sekunden, Besserung bringen, ansonsten frisst die Spamassin dir deinen RAM weg.

Ich denke, der Support wird nicht unrecht haben, und selbst wenn, deine Logs musst du lesen, wenn du das nicht verstehst, hilft der Support bestimmt gerne, deine Wissenlücken zu füllen. Aber lesen und versuchen solltest du es selber schon
Evtl. stärkt es ja dein Vertrauen in den Support, wenn du das nächste mal vor einem unerklärlichen Problem stehst

Gruß MeMeD


p.s. ja der Text ist schon ironisch, ich komme halt von der anderen Seite und verstehe oft nicht, warum "Support" als "Vorlesedienst" verstanden wird, also nicht krumm nehmen

 

[ITMueller]

Okay - danke dir!
Bei mir läuft halt mehr oder weniger nach learning by doing - leider... Und du glaubst nicht wie viel Zeit ich in nachlesen und versuchen zu verstehen ich die letzten Tage in den Linux vServer gesteckt habe. Ich versuch halt erst mich selbst schlau zu machen und fehler zu finden bevor ich blindlinks um hilfe schreie. Und das mit dem vorlesen kann ich nur bestätigen, geht mir in vielen anderen Sachen genau so (dass ich vorlesen darf).

Danke, dein Post hat mir sehr geholfen zu verstehen. Auch wenn du mir vielleicht nicht glaubst.

Ja er hatte recht, bei mir ist das aber in dem riesen Berg an Logs einfach untergegangen.

grep -i 'maxclient' /var/log/apache2/error_log

[Sat Apr 28 00:36:04 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Tue May 15 21:04:38 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Tue May 15 21:53:55 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Thu May 24 17:12:13 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Wed Jun 06 10:57:16 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Mon Jun 11 16:53:47 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Sun Jun 17 16:27:51 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Mon Jun 18 15:32:10 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Tue Jun 19 14:04:20 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Thu Jul 05 12:34:50 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Thu Jul 12 17:20:47 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Thu Sep 27 09:36:47 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Fri Oct 05 14:55:38 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Thu Oct 11 12:22:12 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Sat Oct 13 03:36:33 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Sat Oct 13 20:35:23 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Mon Oct 15 09:37:21 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Tue Oct 16 14:23:35 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Tue Oct 16 16:13:34 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting
[Wed Oct 17 10:19:32 2007] [error] server reached MaxClients setting, consider raising the MaxClients setting

Welchen Timeout für die SA soll ich kontrollieren?

Thx for Support MeMeD und Huschi!

 

[memed]

Hi,

ich meine den timeout im Watchdogmodul von Plesk, ich nehme da 300, den üblichen TCP Timeout, da ich nur Fehler der Nutzer vermeiden wil, und die brechen nach 300 Sekunden ab..

Gruß MeMeD

 

[ITMueller]

Ah.
Bei mir stand standardmäßig 5 Sek. drin - verglichen damit war das sicherlich ein bisschen sehr scharf eingestellt. Hab deinen Wert mal übernommen.

Aber ich muss sagen als Ergebnis läuft der Server seit gestern Nachmittag deutlich (!) besser. Endlich wieder ruhig schlafen...

 

[ITMueller]

Hey, wollte nur nochmal anfügen, dass der Watchdog und die Dienste jetzt nahezu perfekt laufen. Danke nochmal.