Serverload extrem hoch

turgor · Jul 6, 2007

Hallo!
Zunächst:
Ich bin noch recht unerfahren im Umgang mit Linux und Rootservern und hoffe auf Euer Verständnis, wenn ich irgendwelche absolut klaren Sachen nicht auf Anhieb verstehe oder richtig mache

Ich habe mir im September vergangenen Jahres einen Rootserver bei Strato geholt, weil ich mich ein wenig damit spielen wollte und ein kleines Forum aufbauen wollte.

Hardware: Opteron 148, 1GB Ram, 2*160gb HDD

Mittlerweile läuft alles soweit stabil und funktioniert auch tadellos. Allerdings habe ich seit einigen Wochen das Problem, dass sich die Load von Tag zu Tag (ziemlich genau) um den Wert "1" erhöht. So bin ich mittlerweile bei einer Load von 40 angelangt.

top sagt folgendes:

Code:

top - 20:15:08 up 122 days, 17:09,  4 users,  load average: 40.16, 40.29, 40.27
Tasks: 452 total,   1 running, 451 sleeping,   0 stopped,   0 zombie
Cpu(s):  7.6% us,  3.3% sy,  0.0% ni,  0.0% id, 87.1% wa,  0.0% hi,  2.0% si
Mem:   1035436k total,  1029876k used,     5560k free,     2416k buffers
Swap:  2104496k total,   143116k used,  1961380k free,   775484k cached

Wie und was die 451 schlafenden Prozesse sind, absoluten keinen Schimmer... und auch null Ahnung, wie ich das herausfinden könnte oder darauf zugreifen könnte. Allerdings nehme ich einfach mal an, dass es an diesen Prozessen nicht liegen kann.

Code:

  PID USER      PR  NI  VIRT  RES  SHR S %CPU %MEM    TIME+  COMMAND
14143 www-data  16   0 49580  30m 4600 R 15.9  3.0   5:17.72 python
15592 root      16   0  2328 1280 1852 R  0.7  0.1   0:00.91 top
32650 root      15   0     0    0    0 S  0.3  0.0   0:01.77 pdflush
    1 root      16   0  1504  268 1352 S  0.0  0.0   0:39.17 init
    2 root      34  19     0    0    0 S  0.0  0.0   0:00.03 ksoftirqd/0
    3 root       5 -10     0    0    0 S  0.0  0.0   0:03.60 events/0
    4 root       7 -10     0    0    0 S  0.0  0.0   0:00.00 khelper
    5 root      12 -10     0    0    0 S  0.0  0.0   0:00.00 kacpid
   39 root       5 -10     0    0    0 S  0.0  0.0  11:34.49 kblockd/0
   49 root      15   0     0    0    0 D  0.0  0.0   2:33.91 pdflush

das sind noch die "Topprozesse", aber selbst da sehe ICH nichts ungewöhnliches.
Ich wäre und bin um jeden noch so kleinen Tipp dankbar, der mir helfen kann/könnte die Load des Servers nach unten zu drücken und so den Server auch in gewisser Weise wieder "reaktionsschneller" zu machen.

Gulaschkanone · Jul 6, 2007

Hallo,

kurze Frage: Ist es normal das bei dir 4 user eingelogt sind?
Nach deiner Anzeige sind gerade 4 User per ssh auf deinem Server verbunden.

Poste bitte auch mal mit die Logs von deinem Server.

Hast du den Server extra gesichert oder ncihts groß daran gemacht?

marneus · Jul 6, 2007

Hm, nette Hardware zum "Spielen"... und zum Spamversenden, für DDoS-Attacken und vielerlei anderen tollen Sachen, die Du nicht möchtest, aber wahrscheinlich schon von Deinem Server getätigt werden.

Wir brauchen Auszüge aus Deinen /var/log/messages und /var/log/mail.info.

Firewire2002 · Jul 6, 2007

Die Ausgabe von

Code:

pstree

nicht vergessen.

turgor · Jul 6, 2007

ich sollte vielleicht noch erwähnen, dass mir die Konfiguration vom Server ohne Plesk etwas zu aufwendig war.
Deswegen habe ich mir nach kurzer Zeit Plesk installiert, was mir die Arbeit doch sehr erleichtert hat.
Studium lässt leider kaum Luft, um so was manuell zu machen.
Achja, aktueller Stand:
Linux xxxxx 2.6.8-3-686 #1 Tue Dec 5 21:26:38 UTC 2006 i686 GNU/Linux

Firewire2002 said:
Die Ausgabe von

Code:

pstree

nicht vergessen.

Code:

xxxx:/etc/init.d# pstree
init─┬─agent_runner
     ├─apache2───12*[apache2]
     ├─atd
     ├─bfsmd
     ├─4*[courierlogger]
     ├─4*[couriertcpd]
     ├─cron─┬─cron───sh───backupmng───backup+
     │      └─38*[cron───sh───run-parts───fi+
     ├─dhcpcd-bin
     ├─drwebd───4*[drwebd]
     ├─events/0─┬─aio/0
     │          ├─ata/0
     │          ├─kacpid
     │          ├─kblockd/0
     │          ├─khelper
     │          └─2*[pdflush]
     ├─2*[getty]
     ├─httpsd───2*[httpsd]
     ├─inetd
     ├─klogd
     ├─kseriod
     ├─ksoftirqd/0
     ├─kswapd0
     ├─mailmanctl───8*[python]
     ├─md0_raid1
     ├─md1_raid1
     ├─mdadm
     ├─monit
     ├─mysqld_safe─┬─logger
     │             └─mysqld
     ├─named
     ├─nmbd
     ├─ntpd
     ├─oidentd
     ├─postmaster─┬─postmaster───postmaster
     │            └─postmaster
     ├─2*[python]
     ├─qmail-send─┬─qmail-clean
     │            ├─qmail-lspawn
     │            ├─qmail-rspawn
     │            └─splogger
     ├─sbnc
     ├─scsi_eh_0
     ├─scsi_eh_1
     ├─scsi_eh_2
     ├─scsi_eh_3
     ├─server_linux───server_linux───7*[server_linux]
     ├─smbd───2*[smbd]
     ├─sshd───sshd───bash───pstree
     ├─syslogd
     └─wdcollect

Gulaschkanone said:
Hallo,

kurze Frage: Ist es normal das bei dir 4 user eingelogt sind?
Nach deiner Anzeige sind gerade 4 User per ssh auf deinem Server verbunden.

Poste bitte auch mal mit die Logs von deinem Server.

Hast du den Server extra gesichert oder ncihts groß daran gemacht?

eigentlich nicht... und wenn ich per root drin bin und "w" eingebe, stehe auch nur ich in der liste.

marneus said:
Hm, nette Hardware zum "Spielen"... und zum Spamversenden, für DDoS-Attacken und vielerlei anderen tollen Sachen, die Du nicht möchtest, aber wahrscheinlich schon von Deinem Server getätigt werden.

Wir brauchen Auszüge aus Deinen /var/log/messages und /var/log/mail.info.

/var/log/messages

Code:

Jul  1 06:47:04 xxxxx syslogd 1.4.1#17: restart.
Jul  1 07:11:41 xxxxx -- MARK --
Jul  1 07:31:41 xxxxx -- MARK --
Jul  1 07:51:41 xxxxx -- MARK --
Jul  1 08:11:41 xxxxx -- MARK --
Jul  1 08:31:41 xxxxx -- MARK --
Jul  1 08:51:41 xxxxx -- MARK --
...
...
Jul  6 22:12:00 xxxxx -- MARK --
Jul  6 22:32:00 xxxxx -- MARK --
Jul  6 22:52:00 xxxxx -- MARK --
Jul  6 23:12:00 xxxxx -- MARK --
Jul  6 23:32:00 xxxxx -- MARK --

ein /var/log/mail.info. gibt es nicht.

wobei die xxxxx mein Servername sind...

Firewire2002 · Jul 6, 2007

Deine Informationen sind etwas mager.
Was sagt denn der Traffic und die Mailqueue?

Ich tippe auf eine fleißig vor sich hin spammende oder Warez verteilende Maschine.

turgor · Jul 6, 2007

Mailqueue?

Externer (ein- und ausgehend) Traffic gurkt pro Monat bei ca. gesamt 10-25gb rum. Schwankt immer wieder... kommt aber drauf an, wieviele Seitenaufrufe ich erhalte.

wstuermer · Jul 7, 2007

Hi,

den Inhalt von

Code:

/var/log/syslog

und die Ausgabe von

Code:

mailq | wc -l

wären hier nun hilfreich.

Gruß
Wolfgang

noto · Jul 7, 2007

Code:

Cpu(s):  7.6% us,  3.3% sy,  0.0% ni,  0.0% id, 87.1% wa,  0.0% hi,  2.0% si

da müssen die Alarmglocken leuten!

87.1% wa

Bevor du nach Ursachen suchst solltest du deine Apache Konfiguration mal checken und alle Log Dateien in

Code:

/var/log
/var/log/httpd

Log Dateien kann man leeren mit >

Code:

>error_log

turgor · Jul 7, 2007

wstuermer said:
Hi,

den Inhalt von

Code:

/var/log/syslog

und die Ausgabe von

Code:

mailq | wc -l

wären hier nun hilfreich.

Gruß
Wolfgang

syslog is 6,5mb lang.
Außer ein paar fehlgeschlagener Versuche sich mit dem IMAP und POP-Server zu verbinden (mit Standardpw) ist darin für mich nichts auffälliges enthalten.

Code:

Jun 20 06:43:38 xxxxx pop3d: IMAP connect from @ [85.121.42.17]checkmailpasswd: FAILED: support - no such user from @ [85.121.42.17]ERR: LOGIN FAILED, ip=[85.121.42.17]
Jun 20 06:43:38 xxxxx pop3d: LOGOUT, ip=[85.121.42.17]
Jun 20 06:43:38 xxxxx pop3d: Connection, ip=[85.121.42.17]
Jun 20 06:43:45 xxxxx pop3d: IMAP connect from @ [85.121.42.17]checkmailpasswd: FAILED: support - no such user from @ [85.121.42.17]ERR: LOGIN FAILED, ip=[85.121.42.17]
Jun 20 06:43:45 xxxxx pop3d: LOGOUT, ip=[85.121.42.17]
Jun 20 06:43:45 xxxxx pop3d: Connection, ip=[85.121.42.17]
Jun 20 06:43:53 xxxxx pop3d: IMAP connect from @ [85.121.42.17]checkmailpasswd: FAILED: support - no such user from @ [85.121.42.17]ERR: LOGIN FAILED, ip=[85.121.42.17]
Jun 20 06:43:53 xxxxx pop3d: LOGOUT, ip=[85.121.42.17]
Jun 20 06:43:53 xxxxx pop3d: Connection, ip=[85.121.42.17]
Jun 20 06:44:00 xxxxx pop3d: IMAP connect from @ [85.121.42.17]checkmailpasswd: FAILED: support - no such user from @ [85.121.42.17]ERR: LOGIN FAILED, ip=[85.121.42.17]
Jun 20 06:44:00 xxxxx pop3d: LOGOUT, ip=[85.121.42.17]
Jun 20 06:44:00 xxxxx pop3d: Connection, ip=[85.121.42.17]
Jun 20 06:44:07 xxxxx pop3d: IMAP connect from @ [85.121.42.17]checkmailpasswd: FAILED: support - no such user from @ [85.121.42.17]ERR: LOGIN FAILED, ip=[85.121.42.17]
Jun 20 06:44:07 xxxxx pop3d: LOGOUT, ip=[85.121.42.17]
Jun 20 06:44:07 xxxxx pop3d: Connection, ip=[85.121.42.17]
Jun 20 06:44:14 xxxxx pop3d: IMAP connect from @ [85.121.42.17]checkmailpasswd: FAILED: support - no such user from @ [85.121.42.17]ERR: LOGIN FAILED, ip=[85.121.42.17]
Jun 20 06:44:14 xxxxx pop3d: LOGOUT, ip=[85.121.42.17]
Jun 20 06:44:15 xxxxx pop3d: Connection, ip=[85.121.42.17]
Jun 20 06:44:22 xxxxx pop3d: IMAP connect from @ [85.121.42.17]checkmailpasswd: FAILED: support - no such user from @ [85.121.42.17]ERR: LOGIN FAILED, ip=[85.121.42.17]
Jun 20 06:44:22 xxxxx pop3d: LOGOUT, ip=[85.121.42.17]
Jun 20 06:44:22 xxxxx pop3d: Connection, ip=[85.121.42.17]
Jun 20 06:44:29 xxxxx pop3d: IMAP connect from @ [85.121.42.17]checkmailpasswd: FAILED: support - no such user from @ [85.121.42.17]ERR: LOGIN FAILED, ip=[85.121.42.17]
Jun 20 06:44:29 xxxxx pop3d: LOGOUT, ip=[85.121.42.17]
Jun 20 06:44:29 xxxxx pop3d: Connection, ip=[85.121.42.17]
Jun 20 06:44:35 xxxxx pop3d: IMAP connect from @ [85.121.42.17]checkmailpasswd: FAILED: support - no such user from @ [85.121.42.17]DEBUG: Connection, ip=[85.121.42.17]
Jun 20 06:44:36 xxxxx pop3d: IMAP connect from @ [85.121.42.17]checkmailpasswd: FAILED: info - no such user from @ [85.121.42.17]ERR: LOGIN FAILED, ip=[85.121.42.17]
Jun 20 06:44:36 xxxxx pop3d: LOGOUT, ip=[85.121.42.17]
Jun 20 06:44:36 xxxxx pop3d: Connection, ip=[85.121.42.17]
Jun 20 06:44:42 xxxxx pop3d: IMAP connect from @ [85.121.42.17]checkmailpasswd: FAILED: support - no such user from @ [85.121.42.17]ERR: LOGIN FAILED, ip=[85.121.42.17]
Jun 20 06:44:42 xxxxx pop3d: LOGOUT, ip=[85.121.42.17]
Jun 20 06:44:42 xxxxx pop3d: Connection, ip=[85.121.42.17]

einzig damit weiß ich nichts anzufangen:

Code:

Jun 26 10:29:28 xxxxx kernel: TCP: Treason uncloaked! Peer 87.158.63.71:51010/34766 shrinks window 3887262663:3887279181. Repaired.
Jun 26 10:29:29 xxxxx kernel: TCP: Treason uncloaked! Peer 87.158.63.71:51010/34766 shrinks window 3887262663:3887279181. Repaired.
Jun 26 10:29:31 xxxxx kernel: TCP: Treason uncloaked! Peer 87.158.63.71:51010/34766 shrinks window 3887662663:3887689481. Repaired.
Jun 26 10:29:32 xxxxx last message repeated 2 times
Jun 26 10:29:38 xxxxx kernel: printk: 1 messages suppressed.
Jun 26 10:29:38 xxxxx kernel: TCP: Treason uncloaked! Peer 87.158.63.71:51010/34766 shrinks window 3888462663:3888489853. Repaired.
Jun 26 10:29:42 xxxxx kernel: printk: 2 messages suppressed.
Jun 26 10:29:42 xxxxx kernel: TCP: Treason uncloaked! Peer 87.158.63.71:51010/34766 shrinks window 3888862663:3888888369. Repaired.
Jun 26 10:29:48 xxxxx kernel: printk: 2 messages suppressed.
Jun 26 10:29:48 xxxxx kernel: TCP: Treason uncloaked! Peer 87.158.63.71:51010/34766 shrinks window 3889662663:3889686834. Repaired.
Jun 26 10:29:53 xxxxx kernel: printk: 2 messages suppressed.
Jun 26 10:29:53 xxxxx kernel: TCP: Treason uncloaked! Peer 87.158.63.71:51010/34766 shrinks window 3890062663:3890090930. Repaired.
Jun 26 10:29:59 xxxxx kernel: printk: 2 messages suppressed.
Jun 26 10:29:59 xxxxx kernel: TCP: Treason uncloaked! Peer 87.158.63.71:51010/34766 shrinks window 3890862663:3890883819. Repaired.
Jun 26 10:30:01 xxxxx /USR/SBIN/CRON[8921]: (www-data) CMD ([ -x /usr/lib/cgi-bin/awstats.pl -a -f /etc/awstats/awstats.conf -a -r /var/log/apache/access.log ] && /usr/lib/cgi-bin/awstats.pl -config=awstats -update >/dev/null)
Jun 26 10:30:01 xxxxx /USR/SBIN/CRON[8922]: (root) CMD (/opt/psa/admin/sbin/backupmng >/dev/null 2>&1)
Jun 26 10:30:04 xxxxx kernel: printk: 2 messages suppressed.

alles andere scheint normal zu sein. Ein paar reguläre Logins auf den FTP, viel reguläre Email-Abrufe, der User, die ich auch wirklich angelegt habe, drweb Einträge.

Code:

mailq | wc -1

gibt es nicht

noto said:
Code:

Cpu(s): 7.6% us, 3.3% sy, 0.0% ni, 0.0% id, 87.1% wa, 0.0% hi, 2.0% si

da müssen die Alarmglocken leuten!

87.1% wa

Bevor du nach Ursachen suchst solltest du deine Apache Konfiguration mal checken und alle Log Dateien in

Code:

/var/log /var/log/httpd

Log Dateien kann man leeren mit >

Code:

>error_log

ok, aber wie im Eröffnungsposting schon beschrieben, habe ich nicht sehr viel Ahnung von der Materie.
Wohnach soll ich in der Config vom Apachen suchen bzw was soll ich genau checken? Und was soll ich in allen Logs finden wollen? Ich bräuchte etwas detailiertere Angaben, damit ich auch wirklich das finde, was ich brauchen könnte. Sorry dafür.

Code:

/var/log/httpd

dieses VZ oder diese Datei existiert im Übrigen nicht.

noto · Jul 7, 2007

Inhalt der

Code:

/etc/httpd/conf/httpd.conf 

oder

/etc/apache2/server-tuning.conf

und Inhalt der

Code:

/etc/my.cnf

und wieso machst du keinen Server Reboot?

Andre.Ho · Jul 7, 2007

turgor said:
ok, aber wie im Eröffnungsposting schon beschrieben, habe ich nicht sehr viel Ahnung von der Materie.

Ich hab auch keine Ahnung von Autobremsen, aber mit Hilfe von so Foren hab ich das bisher immer hinbekommen, fährt sich zwar a bisserl komisch, aber der ein oder andere Radfahrer kam schon unter die Räder.

Just meine 2 Cents: Eurer Hilfeversuche sind super und ehrenwert, aber unangemessen.

Der Threadposter sollte meiner Meinung nach die Finger von Servern lassen oder jemanden beauftragen, gerade bei solch lächerlich trivialen Problemen, an Spamschleudern ist jeder mitschuld, der da hilft. In einem Autoforum würdet Ihr doch auch beim oben angemerkten Bremsenproblem nicht helfen?

Solche Basteleien zum Lernen kann man auch daheim mit VMWare oder nem PC machen...

turgor · Jul 9, 2007

@Andre:
dann hast du meiner Meinung nach den Sinn eines solchen Forums verfehlt.
Aber da dein Account gesperrt wurde, nehme ich an, dass du in weiteren Threads solch unangemessenen Antworten hinterlassen hast.

noto said:
Inhalt der

Code:

/etc/httpd/conf/httpd.conf oder /etc/apache2/server-tuning.conf

und Inhalt der

Code:

/etc/my.cnf

und wieso machst du keinen Server Reboot?

oh man, auch da find ich keins der angegebenen Files.
Die httpd.conf find ich in /etc/apache2/ ... allerdings steht da nix drin

Code:

xxxxx:~# more /etc/apache2/httpd.conf
# This is here for backwards compatability reasons and to support
#  installing 3rd party modules directly via apxs2, rather than
#  through the /etc/apache2/mods-{available,enabled} mechanism.
#
#LoadModule mod_placeholder /usr/lib/apache2/modules/mod_placeholder.so

marneus · Jul 9, 2007

Zuerst einmal bitte ich weitere Kommentare bzgl. Andre.Ho zu unterlassen. Sein Account ist Geschichte.

Dann bitte ich Dich (beinahe) Fullquote zu unterlassen. Das macht das Lesen unheimlich mühevoll und man liest alles doppelt.

So... nun zur eigtl. Frage: Was zum Teufel ist das für ein System? Welche Administrationssoftware läuft da drauf? Was gibt denn

Code:

find / -name my.cnf

aus?

turgor · Aug 6, 2007

so, ich hab die sache nun in den griff bekommen.
es waren lediglich die backup prozesse die täglich ausgeführt wurden und sich in irgendwelchen fehlern verlaufen haben... jetzt funktionieren sie komischerweise einwandfrei.
danke für eure hilfe

Serverload extrem hoch

turgor

New Member

Gulaschkanone

Registered User

marneus

Registered User

Firewire2002

Registered User

turgor

New Member

Firewire2002

Registered User

turgor

New Member

wstuermer

Active Member

noto

New Member

turgor

New Member

noto

New Member

Andre.Ho

Guest

turgor

New Member

marneus

Registered User

turgor

New Member

We value your privacy