Fantasyelf
New Member
Ich verwalte für eine andere Person einen Root-Server von Strato. Das BS ist OOS Suse 10.0 mit Plesk 8.1.0. Der Server lief lange Zeit sehr stabil. Dann haben türkische Seiten (5sohbet.net, securitysafe.net, usw.) angefangen, uns mit Anfragen zu bombardieren. Die habe ich dann per .htaccess ausgesperrt. Das ging dann eine Weile gut, bis der Apache wieder zugespammt wurde. Da habe ich dann DDos deflate installiert (ab 80 Verbindungen pro Minute wird geblockt). Dadurch waren die Seiten wieder sehr gut erreichbar. Nach circa 1 Woche waren die Ladezeiten wieder sehr lang. Und manchmal reagierte der Server gar nicht mehr. Da half nur ein Reset, obwohl Watchdog den Apache immer wieder neustartete. Netstat hatte über 500000 passive Verbindungen gemeldet. Gestern habe ich den Server komplett neu installiert. Sofort nach der Installation haben sich die passiven Verbindungen wieder erhöht, obwohl noch keine Webseiten drauf waren. Nachdem ich die Datenbanken, Webseiten und Pleskeinstellungen zurückgeholt habe, lief der Server die ganze Nacht mit ordentlicher Geschwindigkeit. Ab heute früh um ca. 9 Uhr lief er wieder sehr langsam, sogar noch langsamer als vor der Installation.
Hierzu mal ein netstat -s:
Und ein top:
Selbst wenn man nur eine kleine Domain aktiviert hat, dauert es sehr lange. Innerhalb einer Minute kommen ca. 1000-2000 passive Verbindungen dazu. Wenn man den Apache stopt, kommen noch ab und zu passive Verbindungen an, aber sehr viel weniger (ca. 10-20 pro Minute). Es scheint, als greifen Sie die IP direkt an. Ein Umzug auf einen anderen Server ist zur Zeit nicht drin, auch eine andere IP können wir nicht bekommen.
In den Logfiles(access.log, error.log, messages) konnte ich nichts ungewöhnliches entdecken.
Vorhin mußte ich den Server wieder reseten. Jetzt kommt Watchdog aller 2-5 Minuten mit der Meldung, das der Apache neugestartet wurde. Anscheinend war Watchdog abgeschmiert.
So langsam weiß ich nicht mehr weiter.
Hierzu mal ein netstat -s:
Code:
Ip:
788464 total packets received
62 with invalid addresses
0 forwarded
0 incoming packets discarded
786152 incoming packets delivered
728337 requests sent out
3 fragments dropped after timeout
8 reassemblies required
3 packet reassembles failed
Icmp:
57 ICMP messages received
1 input ICMP message failed.
ICMP input histogram:
destination unreachable: 51
timeout in transit: 4
redirects: 1
19 ICMP messages sent
0 ICMP messages failed
ICMP output histogram:
destination unreachable: 19
Tcp:
715 active connections openings
129356 passive connection openings
42458 failed connection attempts
26784 connection resets received
137 connections established
785213 segments received
728491 segments send out
28463 segments retransmited
16 bad segments received.
4903 resets sent
Udp:
3076 packets received
19 packets to unknown port received.
977 packet receive errors
3017 packets sent
TcpExt:
386 invalid SYN cookies received
5757 resets received for embryonic SYN_RECV sockets
ArpFilter: 0
87792 TCP sockets finished time wait in fast timer
185 packets rejects in established connections because of timestamp
5785 delayed acks sent
1 delayed acks further delayed because of locked socket
Quick ack mode was activated 1930 times
35247 times the listen queue of a socket overflowed
35247 SYNs to LISTEN sockets ignored
1786 packets directly queued to recvmsg prequeue.
49 packets directly received from backlog
129729 packets directly received from prequeue
7856 packets header predicted
449 packets header predicted and directly queued to user
TCPPureAcks: 279268
TCPHPAcks: 23994
TCPRenoRecovery: 1
TCPSackRecovery: 161
TCPSACKReneging: 6
TCPFACKReorder: 2
TCPSACKReorder: 0
TCPRenoReorder: 0
TCPTSReorder: 1
TCPFullUndo: 2
TCPPartialUndo: 3
TCPDSACKUndo: 2
TCPLossUndo: 52
TCPLoss: 72
TCPLostRetransmit: 0
TCPRenoFailures: 1
TCPSackFailures: 2331
TCPLossFailures: 348
TCPFastRetrans: 256
TCPForwardRetrans: 8
TCPSlowStartRetrans: 1544
TCPTimeouts: 9294
TCPRenoRecoveryFail: 0
TCPSackRecoveryFail: 19
TCPSchedulerFailed: 0
TCPRcvCollapsed: 0
TCPDSACKOldSent: 1902
TCPDSACKOfoSent: 28
TCPDSACKRecv: 1067
TCPDSACKOfoRecv: 0
TCPAbortOnSyn: 0
TCPAbortOnData: 70
TCPAbortOnClose: 66
TCPAbortOnMemory: 0
TCPAbortOnTimeout: 2397
TCPAbortOnLinger: 0
TCPAbortFailed: 0
TCPMemoryPressures: 0
Und ein top:
Code:
top - 12:33:40 up 1:35, 3 users, load average: 0.16, 0.12, 0.16
Tasks: 244 total, 2 running, 242 sleeping, 0 stopped, 0 zombie
Cpu(s): 1.3% us, 0.5% sy, 0.0% ni, 98.2% id, 0.0% wa, 0.0% hi, 0.0% si
Mem: 2074860k total, 696052k used, 1378808k free, 28964k buffers
Swap: 2096472k total, 0k used, 2096472k free, 332436k cached
Selbst wenn man nur eine kleine Domain aktiviert hat, dauert es sehr lange. Innerhalb einer Minute kommen ca. 1000-2000 passive Verbindungen dazu. Wenn man den Apache stopt, kommen noch ab und zu passive Verbindungen an, aber sehr viel weniger (ca. 10-20 pro Minute). Es scheint, als greifen Sie die IP direkt an. Ein Umzug auf einen anderen Server ist zur Zeit nicht drin, auch eine andere IP können wir nicht bekommen.
In den Logfiles(access.log, error.log, messages) konnte ich nichts ungewöhnliches entdecken.
Vorhin mußte ich den Server wieder reseten. Jetzt kommt Watchdog aller 2-5 Minuten mit der Meldung, das der Apache neugestartet wurde. Anscheinend war Watchdog abgeschmiert.
So langsam weiß ich nicht mehr weiter.