Verständnisfrage

S

svg1930

New Member
Hallo,
ich habe ein Problem. ( sonst würde ich ja hier auch nicht schreiben ). Ich habe einen virtuellen Server übernommen und fast keine Ahnung.
Als erstes ist mir aufgefallen, dass eine Datei "access_log" fast 700MB groß ist. Ist das normal?
Zum anderen bringt laut Hoster eine Regel von Spamassassin ( Rule de jour ) das System durch den täglichen Cronjob an die Belastungsgrenze, sodaß der Server regelmäßig abstürzt. Dazu die Frage: Kann ich dieses Rule de jour irgendwie deinstallieren?
Bei dem Server handelt es sich um einen von Netclusive und das Betriebssystem ist Debian.
Danke für euer Verständnis für wahrscheinlich sehr banale Fragen.
 
Hallo,
svg1930 said:
Hallo,
ich habe ein Problem. ( sonst würde ich ja hier auch nicht schreiben ). Ich habe einen virtuellen Server übernommen und fast keine Ahnung.
Click to expand...

:eek:

Dann lautet der erste Befehl für dich "shutdown -h now".:D
Bedenke: du bist für diesen Server verantwortlich und somit auch für alles, was von diesem ausgeht!

Ansonsten als Starthilfe: access.log ist das Zugriffprotokoll des Webservers (Apache) und per "crontab -e" kannst du gucken, welche regelmässigen Jobs täglich laufen.

Gruss Janny.
 
Hallo!
Die Aussage Ich habe einen virtuellen Server reicht nicht. Welchen Server? Welches Betriebssystem / Version? Welche Ressourcen stehen zur Verfügung? Zum Verständnis: Weis du, was SpamAssassin ist und welche Aufgabe es erfüllt? Was passiert, wenn den Server abstürzt?

mfG
Thorsten
 
Tja, dann will ich es mal versuchen:
Der Server hat 320 MB RAM, davon 160 MB garantiert und 160 MB dynamisch.
Das Betriebssystem ist Debian in der wohl neusten Version.
Spamassassin ist mir schon ein Begriff. Es soll Mails als Spam erkennen und dementsprechend kennzeichnen. Problematisch ist für mich die Konfiguration, da ich mich eben mit Linux nicht auskenne. Habe auch schon gesucht, wie ich Spamassassin deinstallieren kann, finde da aber nirgendwo etwas.
Was mich aber vor allem verwundert ist auch die Größe der Acces_log Datei.
Achso, wenn der Server abgestürzt ist, dann hat er immer zu viele Numfiles offen.
Hier mal die Antwort vom Hoster:
root@xxxxx:/# pstree
init-+-apache2-+-3*[apache2]
| `-pipelog.pl
|-atd
|-cron-+-45*[cron---my_rules_du_jou---sleep]
| |-cron-+-cron
| | `-my_rules_du_jou---sleep
| `-cron---my_rules_du_jou---my_rules_du_jou---curl
|-dovecot-+-dovecot-auth
| |-2*[imap-login]
| `-3*[pop3-login]
...
"

In diesem ist deutlich der Grund für die Ressourcenauslastung Ihres Systems zu

erkennen.
Auf Ihrem System werden in dem betroffenen Zeitraum Cronjobs mit dem Namen:

"my_rules_du_jou"

ausgeführt. Eine weitere Analyse ergab, dass es sich hierbei um eine Funktion von Spamassassin handelt:

"
root@xxxx :/# lsof |grep my_rules_du_jou
my_rules_ 1851 root 255r REG 0,31 6537 854179846

/etc/spamassassin/my_rules_du_jour
my_rules_ 3478 root 255r REG 0,31 6537 854179846

/etc/spamassassin/my_rules_du_jour
my_rules_ 3777 root 255r REG 0,31 6537 854179846

/etc/spamassassin/my_rules_du_jour
...
"

Da diese per Cronjob sehr oft ausgeführt wird, was zu dem Erreichen der Ressourcengrenzen Ihres virtuellen Servers führt, sollten Sie die Konfiguration von Spamassassin überprüfen und entsprechend optimieren.
 
Um den Spamassassin auszuschalten musst Du zunächst rausfinden, wie er überhaupt eingebunden ist, andernfalls führt ein /etc/init.d/sa stop zu einem Totalausfall des Mailsystems. Welcher MTA (postfix, qmail, exim,...) läuft auf dem Server?

Schau Dir mal das access.log genauer an. Wenn der erste Eintrag vergleichsweise alt ist (mehr als ein Monat) kann es sein, dass die Datei nicht vom logrotate bearbeitet wird und daher mit der Zeit immer größer wird.

Viele Grüße,
LinuxAdmin
 
LinuxAdmin said:
Um den Spamassassin auszuschalten musst Du zunächst rausfinden, wie er überhaupt eingebunden ist, andernfalls führt ein /etc/init.d/sa stop zu einem Totalausfall des Mailsystems. Welcher MTA (postfix, qmail, exim,...) läuft auf dem Server?

Schau Dir mal das access.log genauer an. Wenn der erste Eintrag vergleichsweise alt ist (mehr als ein Monat) kann es sein, dass die Datei nicht vom logrotate bearbeitet wird und daher mit der Zeit immer größer wird.

Viele Grüße,
LinuxAdmin
Click to expand...

Ich kann die access.log gar nicht öffnen, da sie 560 MB groß ist
Es läuft postfix auf dem Server
 
[man]head[/man] und [man]tail[/man] sind Deine Freunde ...

Die Antwort auf die Spamassassin-Frage überlasse ich jemand anderem ;)

Viele Grüße,
LinuxAdmin
 
Das ist das Ende der Datei:
Code: 
root@xxxx:~# tail /var/www/web1/log/access_log
82.149.85.206 - - [04/Dec/2007:16:55:08 +0100] "GET /images/pt.gif HTTP/1.1" 304
 - "http://www.germanencup.germania-hauenhorst.de/germanencup2007/vorrunde/grupp
e1/index.php" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4
322; .NET CLR 2.0.50727; InfoPath.1; .NET CLR 3.0.04506.30)"
82.149.85.206 - - [04/Dec/2007:16:55:08 +0100] "GET /images/pdotw.gif HTTP/1.1" 
304 -

und das der Anfang:

Code: 
root@xxxx:~# head /var/www/web1/log/access_log66
66.249.65.146 - - [10/Oct/2007:00:38:56 +0200] "GET /lmo20072008/lmo.php?action=re
results&file=bezirksliga4frauen20072008.l98&endtab=11&st=11&tabtype=4&PHPSESSID=91
91abb7bb47a3b3d7668b433d5320d761&lmouserlang=Cestina&PHPSESSID=91abb7bb47a3b3d7668
68b433d5320d761 HTTP/1.1" 200 35010 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +
 +http://www.google.com/bot.html)"66
66.249.65.146 - - [10/Oct/2007:00:39:19 +0200] "GET /lmo20072008/lmo.php?action=ti
tipp&todo=tabelle&file=kreisligaA20072008tipp.l98&tabtype=2&nick=nati&st=9&PHPSESS
SSID=db946a4f92cd4ac1568b6bdc48ceab82&lmouserlang=English&PHPSESSID=db946a4f92cd4a
4ac1568b6bdc48ceab82 HTTP/1.1" 200 36933 "-" "Mozilla/5.0 (compatible; Googlebot/2
/2.1; +http://www.google.com/bot.html)"77
77.183.191.38 - - [10/Oct/2007:00:39:56 +0200] "GET /images/dfb2.jpg HTTP/1.1" 200
00 61371 "http://www.fussballwelt-niederrhein.de/start_text.htm"

Wobei ikch damit recht herzlich wenig anfangen kann. Es wundert mich nur, dass dort ein Beginn vom 10.10.07 vorhanden ist
 
Last edited by a moderator:
Oh hauha...

Ich bin ebenfalls kein Profi. Aber bitte beschäftige dich dringend mit der Sicherheit deiner neuen Aufgabe. Als Anfangslektüre empfehle ich dir eine Anleitungsbuch zum verwendeten Betriebssystem und zusätzlich folgende Bücher:

Linux in a Nutshell
(gibt es auch als Übersetzung)

und

Sichere Server mit Linux

Beides von O´Reilly Verlag.

Dann schau mal, wie du dir dein System möglichst sicher gestalten kannst ohne auf Dienste verzichten zu müssen.

Grüße
elmo
 
Hallo,

naja ich kann da noch nix schlimmes erkennen.
Gehört dir evtl. die Domain germania-hauenhorst.de ?

Ich vermute, dass die durch den Vorgänger noch nicht umgezogen ist und somit auf deine IP zeigt. Googlebot spidert da auch wohl wie wild.

Könnte auch das Mailaufkommen erklären, wobei du unbedingt klären musst, wenn es so sein sollte, wieso dein Server die Mails überhaupt annimmt

/var/log/mail

Die Worte "Relay access denied" könnten dich etwas ruhiger werden lassen.

Checke das mal.

Gruß
 
You must log in or register to reply here.
Back
Top