Hohe CPU-Auslastung auf V-Server, durch Apache verursacht

MW-Freiburg · Apr 6, 2010

Hallo zusammen,

nach einigen nervenaufreibenden Stunden mit meinen halbwegs vorhandenen Server-Kenntnissen bin ich nun am Ende meines Lateins angekommen und wende mich hoffnungsvoll an euch

Ich habe einen V-Server mit folgenden Gegebenheiten:

- openSUSE 11.1 (Linux 2.6.18-028stab064.7) + Plesk 9.2.1
- 4 GB Ram

Auf dem Server laufen ein paar schlecht besuchte TYPO3-Installation (<100 Hits pro Tag). Eine Domain hat dazu noch qmail.

Ich habe den Server schon zweimal komplett neu installiert (mühsam, alle Daten runterzusichern und dann wieder hochzuspielen). Außerdem einen Upgrade auf einen höheren Server gemacht, so dass mir mehr Leistung zur Verfügung steht.

Ich habe ehrlich gesagt keine Ahnung, wo ich noch suchen soll bzw. was ich noch machen kann. Wäre nett, wenn mir jemand von euch helfen könnte.

Hier ein Auszug per "top" (Logfiles stelle ich natürlich auch gerne zur Verfügung)

Code:

top - 23:04:44 up 1 day,  2:07,  1 user,  load average: 41.97, 43.74, 50.54
Tasks:  82 total,  42 running,  40 sleeping,   0 stopped,   0 zombie
Cpu(s): 94.8%us,  5.2%sy,  0.0%ni,  0.0%id,  0.0%wa,  0.0%hi,  0.0%si,  0.0%st
Mem:   4194304k total,   675876k used,  3518428k free,        0k buffers
Swap:        0k total,        0k used,        0k free,        0k cached

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND                                                                                                                                                                                       
27965 wwwrun    19   0 44976  19m 4732 R 25.2  0.5   0:58.49 httpd2-prefork                                                                                                                                                                                 
 1988 wwwrun    25   0 46400  20m 4892 R  3.3  0.5   1:32.35 httpd2-prefork                                                                                                                                                                                 
 1995 wwwrun    25   0 46776  21m 4684 R  3.3  0.5   1:40.88 httpd2-prefork                                                                                                                                                                                 
 7833 wwwrun    25   0 48540  23m 4776 R  3.3  0.6   0:38.90 httpd2-prefork                                                                                                                                                                                 
16190 wwwrun    25   0 46608  21m 4884 R  3.3  0.5   2:14.42 httpd2-prefork                                                                                                                                                                                 
16217 wwwrun    25   0 47640  22m 4948 R  3.3  0.5   8:43.25 httpd2-prefork                                                                                                                                                                                 
18004 wwwrun    25   0 46048  19m 3624 R  3.3  0.5   0:28.61 httpd2-prefork                                                                                                                                                                                 
19817 wwwrun    25   0 46860  21m 4868 R  3.3  0.5   1:09.09 httpd2-prefork                                                                                                                                                                                 
21678 wwwrun    25   0 46604  21m 4864 R  3.3  0.5   1:03.59 httpd2-prefork                                                                                                                                                                                 
25777 wwwrun    21   0 45320  19m 4824 R  3.3  0.5   0:59.79 httpd2-prefork                                                                                                                                                                                 
26022 wwwrun    25   0 48788  23m 4828 R  3.3  0.6   1:00.23 httpd2-prefork                                                                                                                                                                                 
26341 wwwrun    25   0 45736  20m 4988 R  3.3  0.5   4:22.56 httpd2-prefork

d4f · Apr 7, 2010

Bitte die Apache Config anhaengen.
Konstant um 40 laufende Prozesse sind defintiv viel bei einem laut deinen Aussagen schlecht besuchten Server

IP-Projects.de · Apr 7, 2010

Was sagt /var/log/apache2/error.log? Vielleicht ein Script in der Endlosschleife ...

Dann würde ich auch einmal die Access.log durchsehen, wohin die ganzen Zugriffe laufen.

MW-Freiburg · Apr 7, 2010

Danke für eure Antworten...

log und config im Anhang.

Das was in einer Schleife durchläuft hatte ich mir auch schon gedacht. Jedoch habe ich den Server ja auch neu installiert und starte ihn fast jeden Tag neu.

Was eventuell noch erwähnenswert sein könnte: Eine Installation von TYPO3 mit dem neuesten Frontend-Editing hat sich etwas seltsam verhalten und die Oberfläche nicht richtig geladen. Hat dies möglicherweiße was zu melden? In den Logfiles kann ich diesbezüglich jedoch nichts feststellen, aber wie gesagt, ich bin nicht gerade der Linux-Vollprofi.

Außerdem verweise ich auf eine der Installationen per DNS-Eintrag. VHost wurde über Plesk angelegt und dann ein A-Record auf die Server-IP. Kann hierin auch ein Fehler liegen?

Vielen Dank für Eure Zeit

daynight · Apr 7, 2010

Trage doch bitte die Sachen via Code ein.

Dieses Raute Zeichen im Editor.

ein.

MW-Freiburg · Apr 7, 2010

Würde ich gerne tun, bin aber mit den Zeichen auf 30000 begrenzt, so dass ich 3 Posts anlegen müsste, die nur Auszüge beinhalten. Ich weiß nicht, ob dies so sinnvoll ist. Wenn gewünscht, dann kann ich dies aber gerne tun.

daynight · Apr 7, 2010

Wegen dem w00t.

Kannst ja mal ne Abuse senden.

abuse@proxad.net

Mit Auszügen von der Log.

Dann haste mal ein Logeintrag weniger

Und/Oder

http://www.homepage-community.de/dfind_scanner_in_den_apachelogs_w00tw00tatiscsansdfind-t175.0.html

Deleted member 4401 · Apr 7, 2010

Was sagt denn:

Code:

netstat -tn

?

MW-Freiburg · Apr 7, 2010

@daynight: Sorry meiner dummen Frage, aber sind diese Zugriffe schlimm? Ist das ein Bot, der back Backdoors sucht oder irgendwas dergleichen?

netstat -tn

Code:

Aktive Internetverbindungen (ohne Server)
Proto Recv-Q Send-Q Local Address           Foreign Address         State      
tcp        1      0 XX.214.130.118:80       XX.218.116.133:44217    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:55719    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.195.37.174:48846     CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.195.37.174:55037     CLOSE_WAIT  
tcp        0      0 XX.214.130.118:80       XX.218.116.133:38302    VERBUNDEN   
tcp        1      0 XX.214.130.118:80       XX.218.116.133:44184    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:55193    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:58778    CLOSE_WAIT  
tcp        0   1104 XX.214.130.118:22       XXX.30.253.252:53679    VERBUNDEN   
tcp        1      0 XX.214.130.118:80       XX.218.116.133:38648    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.195.37.174:41862     CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:40678    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.195.37.174:46221     CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.195.37.174:47498     CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:56282    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:49604    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.195.37.174:56481     CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:59445    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:53045    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:35895    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.195.37.174:59219     CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:51514    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:38458    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XXX.129.119.12:60166    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.195.37.174:50250     CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:43025    CLOSE_WAIT  
tcp        0      0 XX.214.130.118:80       XX.195.37.174:37245     TIME_WAIT   
tcp        1      0 XX.214.130.118:80       XXX.129.119.12:50480    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:56603    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:35076    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XXX.129.119.12:53546    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:49421    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:50557    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.195.37.174:57880     CLOSE_WAIT  
tcp        0      0 XX.214.130.118:80       XX.195.37.174:37634     TIME_WAIT   
tcp        1      0 XX.214.130.118:80       XX.218.116.133:57697    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XXX.129.119.12:45901    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:56429    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XXX.129.119.12:42816    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:58204    CLOSE_WAIT  
tcp        1      0 XX.214.130.118:80       XX.218.116.133:59224    CLOSE_WAIT  
tcp        0      0 XX.214.130.118:80       XXX.157.175.237:13660   VERBUNDEN   
tcp        0      0 XX.214.130.118:80       XXX.157.175.237:13576   TIME_WAIT   
tcp        0      0 XX.214.130.118:80       XX.207.4.242:41479      TIME_WAIT   
tcp        0      0 XX.214.130.118:80       XX.207.4.242:51578      TIME_WAIT

daynight · Apr 7, 2010

Hi,

hier wird kurz erklärt worum es sich handelt.

http://raphael.kallensee.name/journal/w00tw00tatiscsansdfind/

MW-Freiburg · Apr 7, 2010

Interessant. Das könnte natürlich das Problem sein. Ich werde mal ausführlicher recherchieren und schauen, wie ich diese Anfragen von vornherein abblocken kann...

d4f · Apr 8, 2010

Dass einer mit W00tW00t stundenlang/tagelang 50 gleichzeitige Anfragen stellt waere doch seltsam...
Damit haette man ja zwischenzeitlich den ganzen Host mehrfach ge-spidert.
Die Anfragen des w00t-Clienten liegen teilweise auch recht weit auseinander.

Eine interessantere Frage ist - warum sind soviele Verbindungen im CLOSE_WAIT Status?

Deleted member 4401 · Apr 8, 2010

Stimmt d4f.
Vor Allem der "Twiceler" Robot scheint da äusserst aktiv zu sein. Ist zwar nicht explizit als "bad robot" klassifiziert aber es lassen sich schon einige Beschwerden von Seitenbetreibern im Netz finden bei denen der Bot massiv Traffic verursacht hat. Zudem führt der angegebene Link (http://www.cuil.com/twiceler/robot.html) ins Leere, meines Erachtens reichlich suspekt das Ganze.

Ich würde mal testweise diese IPs sperren und schauen ob sich was tut:

Code:

216.129.119.12
67.218.116.133

killerbees19 · Apr 8, 2010

Der Twiceler war bei mir schon mehrmals ein Fake. Die IP's waren bei mir keine vom offiziellen Projekt und teilweise sogar mit gefälschten rDNS Einträgen. Der war damals mehr als aggressiv bis er letztendlich einen Firewall-Bann von mir bekommen hat. Abuse Meldungen gingen damals raus, aber wirklich stoppen kann man das ganze scheinbar nicht. Nur so als Randbemerkung.

MfG Christian

Hohe CPU-Auslastung auf V-Server, durch Apache verursacht

MW-Freiburg

Guest

d4f

Kaffee? Wo?

IP-Projects.de

Active Member

MW-Freiburg

Guest

Attachments

daynight

New Member

MW-Freiburg

Guest

daynight

New Member

Deleted member 4401

Guest

MW-Freiburg

Guest

daynight

New Member

MW-Freiburg

Guest

d4f

Kaffee? Wo?

Deleted member 4401

Guest

killerbees19

Member

We value your privacy