fail2ban - iptable Installationsprobleme

[pajama]

1.) Setz sowas bitte in CODE und nicht in QUOTE Tags, so kann man das ja gar nicht entziffern

Wird in Zukunft gemacht

jetzt ist die CPU Auslastung auf 0,5% gesunken - ich warte mal mit dem Neustart von Clamd, vielleicht war es ja auch nur ein update nach dem Neustart des Servers, sollte ich das Problem nochmal bekommen werde ich folgendes ausführen:

in /etc/apt/sources.list:

deb Index of /debian-volatile etch/volatile main einfügen und:

apt-get update
apt-get install clamav clamav-freshclam clamav-daemon clamav-base
ausführen und mal schauen ob es dann wieder besser geht.
Morgen installiere ich erstmal mod_security

Danke !

 

[pajama]

Hi, wollte jetzt mod_secure installieren und hab vorher nochmal den Server gecheckt. Und offenstichtlich ist der Server heute morgen um 6:30 wieder abgekackt:

[Mon Jan 12 06:31:42 2009] [warn] child process 2250 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:42 2009] [warn] child process 5214 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:42 2009] [warn] child process 1235 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:42 2009] [warn] child process 1236 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:42 2009] [warn] child process 4573 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:42 2009] [warn] child process 4574 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:42 2009] [warn] child process 1514 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:42 2009] [warn] child process 1515 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:42 2009] [warn] child process 1947 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:42 2009] [warn] child process 4598 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:44 2009] [warn] child process 2250 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:44 2009] [warn] child process 5214 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:44 2009] [warn] child process 1235 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:44 2009] [warn] child process 1236 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:44 2009] [warn] child process 4573 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:44 2009] [warn] child process 4574 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:44 2009] [warn] child process 1514 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:44 2009] [warn] child process 1515 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:44 2009] [warn] child process 1947 still did not exit, sending a SIGTERM
[Mon Jan 12 06:31:44 2009] [warn] child process 4598 still did not exit, sending a SIGTERM

wie gesagt diese Problemchen habe ich erst, seit dem upgradte wegen dem dotdeb packages. Kann das sein, das es wohl wieder wegen Server Auslastung ist - hier auch mal ein Auszug aus der sys.log:

Jan 12 06:25:19 vadmin60 postfix/local[7180]: 8B292C0905: to=<root@vadmin.de>, relay=local, delay=15, delays=1.2/0.67/0/13, dsn=2.0.0, status=sent (delivered to command: procmail -a "$EXTENSION")
Jan 12 06:25:20 vadmin60 postfix/qmgr[1133]: 8B292C0905: removed
Jan 12 06:26:02 vadmin60 /USR/SBIN/CRON[7224]: (root) CMD (/var/www/confixx/confixx_counterscript.pl)
Jan 12 06:27:01 vadmin60 /USR/SBIN/CRON[7228]: (root) CMD (/var/www/confixx/confixx_counterscript.pl)
Jan 12 06:28:03 vadmin60 /USR/SBIN/CRON[7230]: (root) CMD (/var/www/confixx/confixx_counterscript.pl)
Jan 12 06:29:04 vadmin60 /USR/SBIN/CRON[7232]: (root) CMD (/var/www/confixx/confixx_counterscript.pl)
Jan 12 06:30:05 vadmin60 /USR/SBIN/CRON[7236]: (www-data) CMD ([ -x /usr/lib/cgi-bin/awstats.pl -a -f /etc/awstats/awstats.conf -a -r /var/log/apache/access.log ] && /usr/lib/cgi-bin/awstats.pl -config=awstats -update >/dev/null)
Jan 12 06:30:05 vadmin60 /USR/SBIN/CRON[7238]: (root) CMD (/var/www/confixx/admin/contrib/auto_reg.pl)
Jan 12 06:30:05 vadmin60 /USR/SBIN/CRON[7240]: (root) CMD (/var/www/confixx/confixx_counterscript.pl)
Jan 12 06:30:15 vadmin60 postfix/pickup[7003]: E8A9FC0976: uid=0 from=<root>
Jan 12 06:30:15 vadmin60 postfix/cleanup[7243]: E8A9FC0976: message-id=<20090112053014.E8A9FC0976@vadmin60.vadmin.de>
Jan 12 06:30:18 vadmin60 postfix/qmgr[1133]: E8A9FC0976: from=<root@vadmin.de>, size=567, nrcpt=1 (queue active)
Jan 12 06:30:28 vadmin60 postfix/smtpd[7247]: connect from localhost[127.0.0.1]
Jan 12 06:30:28 vadmin60 postfix/smtpd[7247]: 0EE09C0905: client=localhost[127.0.0.1]
Jan 12 06:30:28 vadmin60 postfix/cleanup[7243]: 0EE09C0905: message-id=<20090112053014.E8A9FC0976@vadmin60.vadmin.de>
Jan 12 06:30:29 vadmin60 postfix/qmgr[1133]: 0EE09C0905: from=<root@vadmin.de>, size=943, nrcpt=1 (queue active)
Jan 12 06:30:29 vadmin60 postfix/smtpd[7247]: disconnect from localhost[127.0.0.1]
Jan 12 06:30:29 vadmin60 amavis[6990]: (06990-04) Passed CLEAN, <root@vadmin.de> -> <root@vadmin.de>, Message-ID: <20090112053014.E8A9FC0976@vadmin60.vadmin.de>, mail_id: v-tVG6ZSbTPJ, Hits: -, queued_as: 0EE09C0905, 10535 ms
Jan 12 06:30:29 vadmin60 postfix/smtp[7245]: E8A9FC0976: to=<root@vadmin.de>, orig_to=<root>, relay=127.0.0.1[127.0.0.1]:10024, delay=20, delays=8.7/0.64/0/11, dsn=2.6.0, status=sent (250 2.6.0 Ok, id=06990-04, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 0EE09C0905)
Jan 12 06:30:29 vadmin60 postfix/qmgr[1133]: E8A9FC0976: removed
Jan 12 06:31:06 vadmin60 postfix/smtpd[7252]: connect from localhost[127.0.0.1]
Jan 12 06:31:07 vadmin60 postfix/smtpd[7252]: lost connection after CONNECT from localhost[127.0.0.1]
Jan 12 06:31:07 vadmin60 postfix/smtpd[7252]: disconnect from localhost[127.0.0.1]
Jan 12 06:31:07 vadmin60 /USR/SBIN/CRON[7255]: (root) CMD (/var/www/confixx/confixx_counterscript.pl)
Jan 12 06:31:22 vadmin60 postfix/local[7248]: 0EE09C0905: to=<root@vadmin.de>, relay=local, delay=55, delays=1.7/0.24/0/53, dsn=2.0.0, status=sent (delivered to command: procmail -a "$EXTENSION")
Jan 12 06:31:22 vadmin60 postfix/qmgr[1133]: 0EE09C0905: removed
Jan 12 06:32:02 vadmin60 /USR/SBIN/CRON[7818]: (root) CMD (/var/www/confixx/confixx_counterscript.pl)

die localhost IP "localhost[127.0.0.1]" ist die standartmässig oder hätte ich die irgendwo ändern müssen ?

Nochmals Danke für die bisherigen Hilfen !!!

 

[djrick]

Vserver oder Rootserver?

 

[pajama]

vserver mit vollem root zugriff !

 

[djrick]

Was sagen deine Resourcenwerte?
Poste mal die Ausgabe (in CODE Tags) von:

 cat /proc/user_beancounters

 

[pajama]

/proc/user_beancounters konnte ich leider nicht finden

 

[djrick]

Darf ich fragen bei welchem Anbieter du den Vserver hast? Das ist eigentlich standart, dass man den Resourcenverbrauch dort feststellen kann.

Ich vermute nämlich stark, dass dein Server an das Resourcenlimit kommt und sich deswegen abschießt. Das wäre jedenfalls eine typische Erklärung für das Verhalten deines Servers.

 

[pajama]

richtig das habe ich auch vermutet - mein Anbieter ist vsell.de ein ableger von vadmin. - ich rufe da jetzt mal an wegen dem beancounter !

Nachtrag: Also Provider meint dass beancounters nachinstalliert werden muss, da es ein seperates Programm wäre - ich habe ihm dann erklärt, dass ich davon ausging, das ich vielleicht die Einschränkung habe, dies aufzurufen da Vps - er meinte nur dass ich keinerlei Einschränkung habe !

Also wie soll ich das nun nach installieren ?

 

[djrick]

Also wie soll ich das nun nach installieren ?

Keine Ahnung?!

 

[pajama]

Ich habe hier mal etwas gefunden:

http://search.cpan.org/src/EDD/beancounter_0.8.8/README.Debian

soll ich das mal versuchen oder ist die Gefahr zu gross dass ich da etwas am System zerstöre ?

Wenn das mit dem user beancounter nicht funzt wäre mir doch wichtig, wie ich am besten herrausbekomme warum seit dem letzten doteb packages install - morgens den komplett ausfall meines Server durch systemauslastung bekomme - kann mir da jemand helfen - Denkanstösse reichen eventuell schon !

 

[djrick]

Pearl beancounter != /proc/user_beancounters

 

[pajama]

das wird so nicht funktionieren, weil da einiges umgeschrieben werden muss so wie ich das sehe

... und jetzt habe ich gerade wieder 100% CPU Auslastung durch amavis - clamd - ich geb langsam echt auf

 

[djrick]

... und jetzt habe ich gerade wieder 100% CPU Auslastung durch amavis - clamd - ich geb langsam echt auf

Dann schau dir mal die Maillogs und Syslogs an warum da eine so hohe Auslastung ist.

 

[pajama]

Ja habe ich und diese sagt seit den letzten 5 Minuten folgendes aus:

Jan 12 18:40:02 vadmin60 postfix/pickup[1135]: 0BF88C096E: uid=0 from=<root>
Jan 12 18:40:02 vadmin60 postfix/cleanup[1615]: 0BF88C096E: message-id=<20090112174002.0BF88C096E@vadmin60.vadmin.de>
Jan 12 18:40:02 vadmin60 postfix/qmgr[1137]: 0BF88C096E: from=<root@vadmin.de>, size=567, nrcpt=1 (queue active)
Jan 12 18:40:02 vadmin60 postfix/smtpd[1619]: connect from localhost[127.0.0.1]
Jan 12 18:40:02 vadmin60 postfix/smtpd[1619]: 96138C0964: client=localhost[127.0.0.1]
Jan 12 18:40:02 vadmin60 postfix/cleanup[1615]: 96138C0964: message-id=<20090112174002.0BF88C096E@vadmin60.vadmin.de>
Jan 12 18:40:02 vadmin60 postfix/qmgr[1137]: 96138C0964: from=<root@vadmin.de>, size=943, nrcpt=1 (queue active)
Jan 12 18:40:02 vadmin60 postfix/smtpd[1619]: disconnect from localhost[127.0.0.1]
Jan 12 18:40:02 vadmin60 amavis[844]: (00844-02) Passed CLEAN, <root@vadmin.de> -> <root@vadmin.de>, Message-ID: <20090112174002.0BF88C096E@vadmin60.vadmin.de>, mail_id: poQZh1XrpT0e, Hits: -, queued_as: 96138C0964, 369 ms
Jan 12 18:40:02 vadmin60 postfix/smtp[1617]: 0BF88C096E: to=<root@vadmin.de>, orig_to=<root>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.72, delays=0.29/0.01/0/0.42, dsn=2.6.0, status=sent (250 2.6.0 Ok, id=00844-02, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 96138C0964)
Jan 12 18:40:02 vadmin60 postfix/qmgr[1137]: 0BF88C096E: removed
Jan 12 18:40:04 vadmin60 postfix/local[1620]: 96138C0964: to=<root@vadmin.de>, relay=local, delay=2.1, delays=0.08/0.01/0/2, dsn=2.0.0, status=sent (delivered to command: procmail -a "$EXTENSION")
Jan 12 18:40:04 vadmin60 postfix/qmgr[1137]: 96138C0964: removed
Jan 12 18:43:04 vadmin60 postfix/smtpd[1634]: connect from dslb-084-060-151-005.pools.arcor-ip.net[84.60.151.5]
Jan 12 18:43:05 vadmin60 postfix/smtpd[1634]: 3DF1FC0964: client=dslb-084-060-151-005.pools.arcor-ip.net[84.60.151.5]
Jan 12 18:43:06 vadmin60 postfix/cleanup[1638]: 3DF1FC0964: message-id=<20090112174305.3DF1FC0964@vadmin60.vadmin.de>
Jan 12 18:43:06 vadmin60 postfix/qmgr[1137]: 3DF1FC0964: from=<info@discountmaster24.com>, size=1906, nrcpt=1 (queue active)
Jan 12 18:43:06 vadmin60 postfix/smtpd[1641]: connect from localhost[127.0.0.1]
Jan 12 18:43:06 vadmin60 postfix/smtpd[1641]: 2E110C096E: client=localhost[127.0.0.1]
Jan 12 18:43:06 vadmin60 postfix/cleanup[1638]: 2E110C096E: message-id=<20090112174305.3DF1FC0964@vadmin60.vadmin.de>
Jan 12 18:43:06 vadmin60 postfix/qmgr[1137]: 2E110C096E: from=<info@discountmaster24.com>, size=2304, nrcpt=1 (queue active)
Jan 12 18:43:06 vadmin60 postfix/smtpd[1641]: disconnect from localhost[127.0.0.1]
Jan 12 18:43:06 vadmin60 amavis[843]: (00843-03) Passed CLEAN, [84.60.151.5] [84.60.151.5] <info@discountmaster24.com> -> <info@discountmaster24.com>, Message-ID: <20090112174305.3DF1FC0964@vadmin60.vadmin.de>, mail_id: ecoPcp8TkvVR, Hits: -, queued_as: 2E110C096E, 259 ms
Jan 12 18:43:06 vadmin60 postfix/smtp[1639]: 3DF1FC0964: to=<info@discountmaster24.com>, relay=127.0.0.1[127.0.0.1]:10024, delay=1.4, delays=1.1/0.01/0/0.26, dsn=2.6.0, status=sent (250 2.6.0 Ok, id=00843-03, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as 2E110C096E)
Jan 12 18:43:06 vadmin60 postfix/qmgr[1137]: 3DF1FC0964: removed
Jan 12 18:43:06 vadmin60 postfix/smtpd[1634]: disconnect from dslb-084-060-151-005.pools.arcor-ip.net[84.60.151.5]
Jan 12 18:43:07 vadmin60 postfix/local[1642]: 2E110C096E: to=<web1p2@vadmin.de>, orig_to=<info@discountmaster24.com>, relay=local, delay=1.6, delays=0.1/0.01/0/1.4, dsn=2.0.0, status=sent (delivered to command: procmail -a "$EXTENSION")
Jan 12 18:43:07 vadmin60 postfix/qmgr[1137]: 2E110C096E: removed
Jan 12 18:45:02 vadmin60 postfix/pickup[1135]: A508BC096E: uid=0 from=<root>
Jan 12 18:45:02 vadmin60 postfix/cleanup[1654]: A508BC096E: message-id=<20090112174502.A508BC096E@vadmin60.vadmin.de>
Jan 12 18:45:02 vadmin60 postfix/qmgr[1137]: A508BC096E: from=<root@vadmin.de>, size=567, nrcpt=1 (queue active)
Jan 12 18:45:02 vadmin60 postfix/smtpd[1658]: connect from localhost[127.0.0.1]
Jan 12 18:45:02 vadmin60 postfix/smtpd[1658]: EDAE6C0964: client=localhost[127.0.0.1]
Jan 12 18:45:03 vadmin60 postfix/cleanup[1654]: EDAE6C0964: message-id=<20090112174502.A508BC096E@vadmin60.vadmin.de>
Jan 12 18:45:03 vadmin60 postfix/qmgr[1137]: EDAE6C0964: from=<root@vadmin.de>, size=943, nrcpt=1 (queue active)
Jan 12 18:45:03 vadmin60 postfix/smtpd[1658]: disconnect from localhost[127.0.0.1]
Jan 12 18:45:03 vadmin60 amavis[844]: (00844-03) Passed CLEAN, <root@vadmin.de> -> <root@vadmin.de>, Message-ID: <20090112174502.A508BC096E@vadmin60.vadmin.de>, mail_id: wrAQWfT8Hw+O, Hits: -, queued_as: EDAE6C0964, 280 ms
Jan 12 18:45:03 vadmin60 postfix/smtp[1656]: A508BC096E: to=<root@vadmin.de>, orig_to=<root>, relay=127.0.0.1[127.0.0.1]:10024, delay=0.75, delays=0.46/0.01/0/0.28, dsn=2.6.0, status=sent (250 2.6.0 Ok, id=00844-03, from MTA([127.0.0.1]:10025): 250 2.0.0 Ok: queued as EDAE6C0964)
Jan 12 18:45:03 vadmin60 postfix/qmgr[1137]: A508BC096E: removed
Jan 12 18:45:05 vadmin60 postfix/local[1659]: EDAE6C0964: to=<root@vadmin.de>, relay=local, delay=2.2, delays=0.09/0.01/0/2.1, dsn=2.0.0, status=sent (delivered to command: procmail -a "$EXTENSION")
Jan 12 18:45:05 vadmin60 postfix/qmgr[1137]: EDAE6C0964: removed
Jan 12 18:46:26 vadmin60 postfix/anvil[1636]: statistics: max connection rate 1/60s for (smtp:84.60.151.5) at Jan 12 18:43:04
Jan 12 18:46:26 vadmin60 postfix/anvil[1636]: statistics: max connection count 1 for (smtp:84.60.151.5) at Jan 12 18:43:04
Jan 12 18:46:26 vadmin60 postfix/anvil[1636]: statistics: max cache size 1 at Jan 12 18:43:04

Ich raffs einfach nicht was da los ist

 

[djrick]

This might help:
Re: [Clamav-users] clamd stuck at 100% cpu usage

 

[Thorsten]

Hallo!
Du dürftest einen virtuellen Server auf Basis von XEN haben.

vAdmin ist eine vServer-Verwaltungssoftware für vServer auf Xen-Basis. Weitere Informationen zu Xen, inkl. Installationspakete, unter dem Menüpunkt "Systemanforderungen".

Das hier würde ich mir mal genauer ansehen:

an 12 18:40:04 vadmin60 postfix/local[1620]: 96138C0964: to=<root@vadmin.de>, relay=local, delay=2.1, delays=0.08/0.01/0/2, dsn=2.0.0, status=sent (delivered to command: procmail -a "$EXTENSION")
Jan 12 18:40:04 vadmin60 postfix/qmgr[1137]: 96138C0964: removed

Ich vermute mal das vadmin.de dein Anbieter ist. Wenn den so ist, schickst du ihm offenbar einige Emails.

Jan 12 18:43:06 vadmin60 postfix/smtpd[1634]: disconnect from dslb-084-060-151-005.pools.arcor-ip.net[84.60.151.5]
Jan 12 18:43:07 vadmin60 postfix/local[1642]: 2E110C096E: to=<web1p2@vadmin.de>, orig_to=<info@discountmaster24.com>, relay=local, delay=1.6, delays=0.1/0.01/0/1.4, dsn=2.0.0, status=sent (delivered to command: procmail -a "$EXTENSION")

Ist discountmaster24.com deine Domain?

mfG
Thorsten

 

[pajama]

ja vadmin ist mein Anbieter und discountmaster24.com ist meine email - da muss ich dann wohl noch einiges ändern, aber wo ?

... seltsam dass die emails an vadmin gehen !?!

 

[pajama]

Heute morgen 6:30 wieder das gleiche Spiel, Server shut down und seitdem läuft es wieder. CPU Leistung sind jetzt wieder OK.

Nachtrag: wollte jetzt mal mod_security installieren, bekomme aber folgende Fehlermeldung nach apt-get update

W: GPG error: http://etc.inittab.org etch/ Release: The following signatures couldn't be verified because the public key is not available: NO_PUBKEY C514AF8E4BA401C3
W: You may want to run apt-get update to correct these problems

 

[djrick]

Hallo,

bekomme aber folgende Fehlermeldung nach apt-get update

Dazu bitte mal die Forensuche oder Google nutzen, das Problem hab ihc in der letzten Woche schon drei mal erklärt

 

[pajama]

@ djrick:

was denkst Du, wie ich überhaupt auf serversupportforum.de aufmerksam wurde ? antwort: google

was denkst Du was sag ich mal 80-90% aller User hier machen bevor Sie überhaupt sich die Mühe machen Ihre Problem schriftlich niederzulegen und um Hilfe zu bitten ? antwort: google und Forensuche

was denkst Du was ein grosser Teil der User machen, wenn Sie auf Ihre Fragen nur spärliche antworten (wie Du sie als gibst) bekommen machen ?

antwort: google und Forensuche und nach Foren suchen, wo man detailierter auf newbie User eingeht


mal ehrlich, wenn es Dir zu viel ist mal in Klartext Hilfe zu geben , DANN LASS ES - Denn auf solche kommentare wie Googlen bla bla - kann hier echt jeder verzichten, das vertreibt nur die User, die wirklich bevor sie fragen auch andersweitig nach Lösungen suchen.


Machts gut !!!