• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Problem mit HTTPD und Traffic

racer

Registered User
Hi @ all,

ich habe ein Problem mit meinem HTTPD Apache und meinem Traffic.

Seit drei Tagen bekomme ich von Strato Monitoring nun zu diversen Uhrzeiten "Kritisch Meldungen" meines HTTP Dienstes. Tatsächlich ist dieser bzw. die Websites dann schlecht oder garnicht zu erreichen.
Nach einigen Minuten oder Stunden kommt dann wieder die "Gutmeldung" und alles funktioniert wieder.

Zusätlich stieg mein Traffic in den letzten drei Tagen, vor allem der Eingehende Traffic, stark an.
(Grafik anbei)

Die Logfiles (Apache, Mail, Messages, FTP) zeigen nichts auffälliges.
Unter TOP sind auch keine ausergewöhnlichen Prozesse am Laufen.

CPU-Last und Speicherauslastung sind wie immer gleichmäßig und auf normalem Niveau.
Alle anderen Dienste laufen problemlos, auch wenn HTTP kritisch Meldet.

Habt ihr vielleicht noch einen Tipp oder eine Idee was ich noch überprüfen könnte oder nochmals anschauen könnte?

Vielen Dank im Voraus!

Gruß
racer
 

Attachments

  • traffic.jpg
    traffic.jpg
    109.2 KB · Views: 156
Hi racer,

hast du auf deinem Webhost evtl. irgendwelche Webapplikationen laufen (zB: Wordpress, Joomla, ...).

Ich hatte vor einigen Jahren mal den Fall, dass eine veraltete Joomla-Version eines Kunden als Ablageplatz für div. illegale Dateien genutzt wurde.

Geh am besten mal das Filesystem deines Webservers durch und sieh nach ob sich hier irgendwo unübliche Files tummeln. Evtl. suchst du gleich mal nach Dateien die über 80 MB haben. Hier ein Tipp wie du das bewerkstelligen kannst: http://www.mkyong.com/linux/how-to-find-large-file-size-on-linux-solution/
 
Hi Witti,

vielen Dank für die schnelle Antwort.
Da ich einige Joomla Sites laufen habe, werde ich das überprüfen.
Der Speicherplatz hat sich allerdings nicht vergrößert, weshalb ich dies eher für unwahrscheinlich halte.

Trotzdem gehe ich dem nach!

Gruß
racer
 
So,
habe jetzt auch mal nach großen Dateien gesucht.
Bis auf die Plesk Backups nichts größeres über 80 MB zu finden.

Kann mir immer noch nicht erklären, wo der hohe eingehende Traffic herkommt.

Habt ihr sonst noch eine Idee?

Gruß
racer
 
Der eingehende Traffic steigt und steigt.
Auch der ausgehende steigt, aber normal wie immer.

Vorsichtshalber habe ich chkrootkit und rkhunter durchlaufen lassen.
Beide haben nichts verdächtiges gefunden.

TOP zeigt mir einige httpd2-prefork Prozesse.
(Grafik)

Hierzu bringt die error_log folgenden Eintrag:
Code:
[Wed Apr 20 22:17:33 2011] [warn] Init: You should not use name-based virtual hosts in conjunction with SSL!!
[Wed Apr 20 22:17:33 2011] [notice] mod_python: Creating 8 session mutexes based on 150 max processes and 0 max threads.
[Wed Apr 20 22:17:33 2011] [notice] mod_python: using mutex_directory /tmp 
[Wed Apr 20 22:17:33 2011] [notice] Apache/2.2.10 (Linux/SUSE) mod_ssl/2.2.10 OpenSSL/0.9.8h PHP/5.2.14 with Suhosin-Patch mod_python/3.3.1 Python/2.6 mod_perl/2.0.4 Perl/v5.10.0 configured -- resuming normal operations
[Wed Apr 20 22:19:01 2011] [error] server reached MaxClients setting, consider raising the MaxClients setting

Dachte an eine DoS-Attacke, kann mir aber den ungewöhnlich hohen Eingehenden Traffic nicht erklären.

Gibt´s weitere Ideen? Durchforste jetzt seit mehrern Stunden Logdateien und Foren ohne auf einen grünen Zweig zu kommen.

Gruß
racer
 

Attachments

  • top.jpg
    top.jpg
    171.8 KB · Views: 149
Mit einer vermuteten (D)DoS könntest du bei dem angegebenen Traffic-Pattern richtig liegen, durch die ständig ausgelastete Client-Begrenzung (schlechte Erreichbarkeit) wahrscheinlich ein slowloris oder Ableger.
Slowloris kannst du durch Apache mod_antiloris oder ein vorgeschalteter nginx reverseproxy und Apache mod_rpaf nichtig machen.
Synflood halte ich aufgrund der Struktur für unwahrscheinlich.
Sollte nach der Anwendung das Pattern wechseln oder dein Server wieder gewohnt erreichbar sein so war es zweifelsohne ein entsprechender Angriff.

Zusätzliche Informationen zu DoS findest du zB in meinem Blog hier auf SSF
 
Hi d4f,

vielen Dank auch für deine Information.
Gestern und heute ist der HTTPD problemlos weitergelaufen, ohne Überlastung.
Auch CPU-Auslastung und Speicherauslastung sind auf normalem Niveau.

Fraglich ist für mich jedoch noch immer der steigende Eingehende Traffic.
Auf der Platte wird nichts abgelegt, freie Kapazität ist immernoch die gleiche.

Habe zur Übersicht nochmal das Trafficdiagramm vom Monat April, von 7 Tagen und von 24 Stunden als Anhang beigefügt.

Bin ratlos wo der Eingehende Traffic landet bzw. woher er kommt.

Gruß
racer
 

Attachments

  • traffic.jpg
    traffic.jpg
    140.5 KB · Views: 117
  • traffic7tage.jpg
    traffic7tage.jpg
    177.4 KB · Views: 115
  • traffic24stunden.jpg
    traffic24stunden.jpg
    49.7 KB · Views: 115
Zum eingehenden Traffic wird alles gezählt, was an deinem Netzwerkinterface ankommt. Dazu können auch Verbindungswünsche an geschlossene Ports oder Broadcasts auf dem Netz zählen. Ich würde mal mit einem Netzwerksniffer (z.B. tshark) eine Weile den Traffic mitschneiden und dann auswerten:

Code:
tshark -i eth0 -w /tmp/capture

erzeugt eine Datei mit dem Traffic auf dem angegebenen Interface. Dann kann man sich mit

Code:
tshark -q -z conv,ip -r /tmp/capture

eine Statistik auf IP-Ebene (Adressen) oder mit

Code:
tshark -q -z conv,tcp -r /tmp/capture

eine Statistik auf TCP-Ebene (TCP-Verbindungen mit den jeweiligen Ports) erstellen. Damit sollte sich zeigen, wo die Pakete alle herkommen.
 
Wir reden hier von einer Traffic-Summe (eingehend + ausgehend) unter 0.5 Mbs, da kann zb durch Grundrauschen und nicht erfolgreiche Angriffe der einkommende Traffic gern 0.2 Mbs erreichen.
Sorgen machen musst du dir bei solchen Werten nicht wirklich solange sich das System normal verhaelt.
 
Bei der geringen Load und der hohen Anzahl an "Workern" (maxClients reached") würde ich wie d4f auch erstmal in Richtung "slowloris" gucken.
Aktuelle Apache-Versionen bieten mit mod_reqtimeout dagegen wohl auch eine hauseigene Lösung.

AFAIK tauchen solche Sachen eben auch nicht im acccess.log auf und den eingehenden Traffic kannst Du mit einer einfachen iptables-Regel verfolgen.
 
Hi @ all,

vielen Dank für eure schnelle Hilfe und die Tipps!

Werde den Traffic nun im Auge behalten. Die letzen Tage gab es keine Angriffe mehr. Hoffe das wird so bleiben.

Gruß
racer
 
Wirf mal einen blick in die Apache Error Log, ich denke mal es ist das übliche Grundrauschen mehrerer PHPMyAdmin Scanbots oder von Kindern die DFind über den Anschluss ihrer Eltern nutzen....
 
Back
Top