Vserver + Apache2 zeigt Fehlermeldung. PLZ HELP

[Lord_Icon]

GELÖST: Vserver + Apache2 zeigt Fehlermeldung. PLZ HELP

Hi,

mein Server is teilweise down.

Der Grund ist manchmal, das sich der Apache2 aufhängt und nix mehr tut. Dann is meine HP down bzw. der Ladebalken macht endlos lauf.
Emial etc. geht aber nocht.

Um das Problem zu beheben, starte ich den Apachen einfach neu. Und dann läuft der wieder...

bis heute. Da sagt er:

www:/home/lord_icon # /etc/init.d/apache2 start
Warning: found stale pidfile (unclean shutdown?)
Starting httpd2 (prefork) (98)Address already in use: make_sock: could not bind to address 0.0.0.0:80
no listening sockets available, shutting down
Unable to open logs
startproc: exit status of parent of /usr/sbin/httpd2-prefork: 1
done

Das komische... ich hatte ich letzter Zeit überhaupt keine Änderung vorgenommen.

ps aux | grep httpd bringt folgendes

www:/home/lord_icon # ps aux | grep httpd
wwwrun 8106 0.0 0.0 27304 4428 ? S Sep08 0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun 9511 0.0 0.0 24492 4128 ? S Sep08 0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun 5661 0.0 0.0 29220 4588 ? S Sep17 0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun 7957 0.0 0.0 27008 4464 ? S Sep17 0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
wwwrun 9334 0.0 0.0 27072 4468 ? S Sep17 0:00 /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf
root 30700 0.0 0.0 1820 732 pts/1 S+ 15:32 0:00 grep httpd

www:/home/lord_icon # netstat -tupan |grep 80
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      8106/httpd2-prefork
tcp       99      0 62.75.186.123:80        85.214.51.60:37770      CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        85.214.51.60:35762      CLOSE_WAIT  -
tcp      187      0 62.75.186.123:80        89.149.199.100:49234    CLOSE_WAIT  -
tcp      491      0 62.75.186.123:80        141.35.45.106:1873      CLOSE_WAIT  -
tcp      491      0 62.75.186.123:80        141.35.45.106:1872      CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        85.214.51.60:58669      CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        85.214.51.60:40010      CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        85.214.51.60:33108      CLOSE_WAIT  -
tcp      204      0 62.75.186.123:80        89.149.199.100:49304    CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        85.214.51.60:49279      CLOSE_WAIT  -
tcp      216      0 62.75.186.123:80        85.214.21.55:44730      CLOSE_WAIT  -
tcp        1      0 127.0.0.1:80            127.0.0.1:57815         CLOSE_WAIT  -
tcp        1      0 127.0.0.1:80            127.0.0.1:57814         CLOSE_WAIT  -
tcp        1      0 127.0.0.1:80            127.0.0.1:57821         CLOSE_WAIT  -
tcp        1      0 127.0.0.1:80            127.0.0.1:57820         CLOSE_WAIT  -
tcp        1      0 127.0.0.1:80            127.0.0.1:57823         CLOSE_WAIT  -
tcp        1      0 127.0.0.1:80            127.0.0.1:57822         CLOSE_WAIT  -
tcp        1      0 127.0.0.1:80            127.0.0.1:57817         CLOSE_WAIT  -
tcp        1      0 127.0.0.1:80            127.0.0.1:57816         CLOSE_WAIT  -
tcp        1      0 127.0.0.1:80            127.0.0.1:57819         CLOSE_WAIT  -
tcp        1      0 127.0.0.1:80            127.0.0.1:57818         CLOSE_WAIT  -
tcp      108      0 62.75.186.123:80        217.172.168.56:44387    CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        217.172.168.56:42086    CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        217.172.168.56:46973    CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        212.227.127.131:56468   CLOSE_WAIT  -
tcp      108      0 62.75.186.123:80        217.172.168.56:42062    CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        217.172.168.56:57430    CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        217.172.168.56:54618    CLOSE_WAIT  -
tcp      108      0 62.75.186.123:80        217.172.168.56:47147    CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        212.227.127.131:58603   CLOSE_WAIT  -
tcp      108      0 62.75.186.123:80        217.172.168.56:56833    CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        212.227.127.131:63448   CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        217.172.168.56:59115    CLOSE_WAIT  -
tcp      108      0 62.75.186.123:80        217.172.168.56:53992    CLOSE_WAIT  -
tcp      108      0 62.75.186.123:80        217.172.168.56:41469    CLOSE_WAIT  -
tcp      108      0 62.75.186.123:80        217.172.168.56:46804    CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        217.172.168.56:44711    CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        212.227.127.131:54636   CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        212.227.127.131:51564   CLOSE_WAIT  -
tcp      108      0 62.75.186.123:80        217.172.168.56:58558    CLOSE_WAIT  -
tcp      108      0 62.75.186.123:80        217.172.168.56:44734    CLOSE_WAIT  -
tcp       99      0 62.75.186.123:80        217.172.168.56:42630    CLOSE_WAIT  -
tcp       98      0 62.75.186.123:80        212.227.127.131:60499   VERBUNDEN   -
tcp       99      0 62.75.186.123:80        212.227.127.131:49216   CLOSE_WAIT  -

 

[Freel@ncer14]

Hallo Lord_Icon,

deine Fehlermeldung und deine Auszüge sprechen dafür, dass der Apache noch läuft!
Du hast

/etc/init.d/apache2 start

eingegeben.
Probier es mal mit

/etc/init.d/apache2 [B]re[/B]start

Dies beendet den Apache zuerst und startet ihn dann erneut!

Lg
Free

 

[Lord_Icon]

das ist der befehl, den ich sonst immer nutze.
aber der Fehler is der gleiche

www:/srv/www # /etc/init.d/apache2 restart
Syntax OK
Warning: found stale pidfile (unclean shutdown?)
Starting httpd2 (prefork) (98)Address already in use: make_sock: could not bind to address 0.0.0.0:80
no listening sockets available, shutting down
Unable to open logs
startproc:  exit status of parent of /usr/sbin/httpd2-prefork: 1
                                                                      done

 

[Lord_Icon]

Er sagt, das eine pidfile besteht... und fragt, ob mal unsauber Runtergefahren ist.
Eigendlich nicht. Aber wo sollte diese Datei denn liegen ???

Kann ich diese per "Hand" löschen?

 

[Freel@ncer14]

Hi,

und wenn du ihn zuerst beendest?

/etc/init.d/apache2 stop

Was passiert hier?

Alternativ probier mal ob es einen Unterschied gibt, wenn du

rcpache2 start/restart/stop

benutzt.

Zu deiner Frage:
Dieses PID File liegt normalerweise in /var/run/ und heißt httpd2.pid!
Aber ein manuelles löschen würde nichts bringen, denn er sagt dir ja:

make_sock: could not bind to address 0.0.0.0:80

Also probier es einfach mal indem du den Apache zuerst stoppst!

Lg
Free

 

[Lord_Icon]

da kommt nur done.
Also sauber Runtergefahren. Mach ich dann TOP, dann wird der Apache dennoch angezeigt. Wird also trotz richtiger Anzeige nicht runtergefahren.

 

[Freel@ncer14]

Hi,

dann scheint der Apache irgendein internes Problem zu haben...
Du machst das aber schon als 'root' oder?

Evtl. könnte dir ein

killall httpd2-prefork

oder etwas in diese Richtung temporär Abhilfe schaffen.
Oder du schaust einfach in das PID-File unter /var/run/httpd2.pid und killst dann diese PID mit

kill -9 <PID>

Lg
Free

 

[Mercenary]

Das betrifft vielleicht nicht wirklich das Problem des "Apache beenden" und ich weiss ja auch nicht, was da in dem Apache so laeuft/laufen soll, aber die vielen Verbindungen zum jeweils gleichen System, die da oben laut netstat auf einen close warten (muessen) und die Verbindungen auf lo kommen mir schon suspekt vor.
Weisst Du um was fuer Verbindungen es sich da handelt und ist das denkbar fuer die Anwendungen die in Deinem Apachen laufen sollen?
Hinweis nur am Rande
217.172.168.56 und 212.227.127.131 sehen laut WhoIs eher nach statischen Adressen von z.B. Servern aus denn nach Clients.

Ciao,
Mercy.

 

[Lord_Icon]

JAAAAAAAAAAAAA... Es geht wieder. DANKE für deine schnelle Hilfe !!!


Hier ein kleines Howto für die, die das gleiche Prob. haben:

Root sein

in den Ordner /var/run/ und mit

vi httpd2.pid

die Prozessnummer merken

dann

killall httpd2-prefork

und den Prozess selbst (<PID> = das mit eurer Prozessnummer ersetzen)

kill -9 <PID>

die Datei httpd2.pid löschen oder verschieben.

dann

www:/var/run # /etc/init.d/apache2 start
Starting httpd2 (prefork)                                             done

und alles sollte wieder gehen.
Ich weiß nicht, ob man einen Befehl weglassen hätten können, oder ob die Datei httpd2.pid einfach nur geleert (echo > httpd2.pid) werden müßte.

Auf jeden Fall bin ich nach dem oben Beschreibenen Howto vorgegangen = und hatte vollen Erfolg.

Vielen Dank an FREE

 

[Lord_Icon]

joar.

ich hab 22 Domains drauf laufen. Kann schon sein, das auf der einen oder anderen Domain ein oder mehrere Besucher drauf waren (zumindest vor dem Apache down ^^).

 

[Freel@ncer14]

Hi,

das freut mich, wenn es wieder geht bei dir!

Das

killall httpd2-prefork

hättest du wohl weglassen können, aber macht ja auch nichts!

Und nur das PID-File zu löschen wäre unzureichend gewesen, wegen dem socket-error!

Also viel Spass noch mit deinem Server

Lg
Free

PS:
Zu

Der Grund ist manchmal, das sich der Apache2 aufhängt und nix mehr tut.

Du solltest dir mal deine apache2.conf und deine server-tuning.conf angucken und evtl. ein wenig verändern!

Hierzu findest du auch diverse Beiträge hier im Board.
Solltest du noch Fragen dazu haben, dann erstelle am besten eine neues Thema!

PPS:
Bitte keine Doppel-Posts!
Wenn du noch etwas ergänzen möchtest, dann kannst du dies am besten über die Editier Funktion machen!
Hierzu musst du einfach auf den kleinen 'Ändern' Button unter deinem Post klicken!

 

[Lord_Icon]

jaor. Ich weiß. Wollt ich schon länger machen.

Allerdings hatte ich mal wieder den geringsten Weg des Wiederstandes gewählt und hab einfach nur n Cronjob geschrieben.

if [ `ps ax | grep apache | grep -v "grep" | wc -l` == 0 ]
then
mail -s "APACHE TOT" EMAIL ADDY < /dev/null
/etc/init.d/apache2 restart
fi

Aber bei ein solchen Problem, da helfen auch keine scripts mehr

Egal = Danke nochmal für deine schnelle Hilfe. Bis Ende des Monates, kommt der olle VServer eh wech und n root Server kommt ran.
Serverhardware is auch schon bestellt. Ma gugen, wann der geliefert wird.
Ich sprenge leider immer wieder die Numfiles.... müßt ich wieder upgrade... etc. Da is n eigener Server vieeeeel besser. **smile**

Bye

 

[Mercenary]

Wunder Dich dann aber bitte nicht, wenn auf einem root-server dasselbe Problem auftritt, solange Du nicht der Ursache nachgehst.
Ich bin schon so flexibel, normale Clientverbindungen in Betracht zu ziehen die man in einem netstat-snapshot sieht, aber so ganz normal sind die oben aufgefuehrten Verbindungen insbesondere der Zustand in dem die sich zu einem Zeitpunkt und in der Masse befinden nach meinem Dafuerhalten nun nicht wirklich.
Davon abgesehen erwaehnte ich aber glaube ich auch, dass die beiden von mir genannten Systeme nicht unbedingt den Anschein normaler Clientsysteme erwecken.

So long,
Mercy.

 

[Lord_Icon]

O.k. Werd das mal im Auge behalten.
Aber was ist denn deine Vermutung ???

Hoffe jetzt nicht, das du sagst, das da Hack Versuche oder ähnliches erfolgen.

Jetzt... nach dem Restart des Indianers, sieht das schon n bissel bessser aus

www:/home/lord_icon # netstat -tupan |grep 80
tcp        0      0 0.0.0.0:80              0.0.0.0:*               LISTEN      3975/httpd2-prefork
tcp        0      0 62.75.186.123:80        217.172.168.56:45399    TIME_WAIT   -

 

[V40]

Hallo,

also ich für meinen Teil denke das du in deinem access.log viele hübsche Einträge haben wirst die nach Skripten suchen

 

[Mercenary]

Aber was ist denn deine Vermutung ???

Ich pflege Glaubensfragen der Kirche zu ueberlassen und bei den vorliegenden Daten kann mehr nicht rauskommen, Deine logs koennten brauchbare Informationen darueber geben, was da geschieht.
Mich wuerde insbesondere interessieren, was von deinem loopback aus ein Dutzend Verbindungen mit dem Apachen aufmacht, die sich dann nicht sauber abbauen lassen.
Das duerfte uebrigens der Grund sein, warum sich dein Apache nicht freiwillig beenden liess.
Dasselbe gilt fuer diesen host von PlusServer der ja schon wieder da ist, wachsames Kerlchen das.
Was allerdings da geschieht koennen uns nunmal nur Deine logs sagen, ich habe meine Glaskugel schon dauerhaft beim Pfandleiher geparkt.
Aber im besten Fall passiert da auch nichts dramatisches, ausser dass Deine Ressourcen unnuetz verbraten werden, soviel kann man glaube ich jetzt schon sagen.

Ciao,
Mercy.

 

[Lord_Icon]

hmmm..

also ne access.log habsch nicht.
Wenn dort die Zugriffe bzw. das einloggen gespeichert wird, dann ist das bei mir in der messages.log.

Und die ist mit ein paar Kleinigkeiten ast rein sauber.

www:/var/log # ls
.          lastlog                mail.info-20060628.gz  mail.info-20060908.gz  ntp         xinetd.log-20060524.gz  xinetd.log-20060820.gz
..         localmessages          mail.info-20060710.gz  mail.info-20060918.gz  snmpd.log   xinetd.log-20060608.gz  xinetd.log-20060831.gz
apache2    mail                   mail.info-20060722.gz  mail.warn              tomcat5     xinetd.log-20060625.gz  xinetd.log-20060912.gz
boot.log   mail-20060611.gz       mail.info-20060801.gz  messages               warn        xinetd.log-20060707.gz  xinetd.log-20060922.gz
cups       mail.err               mail.info-20060808.gz  messages-20060604.gz   wtmp        xinetd.log-20060719.gz  YaST2
denyhosts  mail.info              mail.info-20060818.gz  net-snmpd.log          xferlog     xinetd.log-20060731.gz
faillog    mail.info-20060613.gz  mail.info-20060828.gz  news                   xinetd.log  xinetd.log-20060809.gz

Die warn.log hat heute ein paar Kleinigkeiten drin. Aber die sind Hauptsächlich wg. mein Mail Proggi. Der macht leider bei 1-2 MB Dateianhang dicht. Aber das is n anderes Problem.

Sep 22 04:49:34 www xinetd[17955]: Server /usr/sbin/popper is not executable [file=/etc/xinetd.d/qpopper] [line=10]
Sep 22 04:49:34 www xinetd[17955]: Error parsing attribute server - DISABLING SERVICE [file=/etc/xinetd.d/qpopper] [line=10]
Sep 22 06:57:11 www postfix/smtpd[18415]: warning: 216.16.218.164: address not listed for hostname 216.16.218.164.dyn-cm-pool46.pool.hargray.net
Sep 22 11:08:13 www postfix/smtpd[28214]: warning: 69.30.217.107: address not listed for hostname netdigitaledge.com
Sep 22 14:45:31 www postfix/cleanup[14086]: warning: A286F1876095: queue file size limit exceeded
Sep 22 14:49:36 www postfix/smtpd[32614]: warning: 201.244.102.253: address not listed for hostname corporativos244102-253.etb.net.co
Sep 22 14:53:01 www postfix/cleanup[14086]: warning: ECC681876095: queue file size limit exceeded

Also: Welche Datei soll den dieser Scripting Suche Protokollieren ??

 

[V40]

Hallo,

in dem Verzeichnis /var/log/apache2/ liegt die Logdatei.

 

[Lord_Icon]

ohh.. tatsache....

Aber die is ja "nur" 6.4 MB Groß. Mit 22.312 Zeilen scrollt man auch gaaanz schnell zum Ende **ironie aus**


O.k. nach ca. 10 min hab ich den Text Abschnitt gefunden, der in der Zeit "aussagefähig'" ist.
Gegen 15 Uhr ist es "paassiert". ca. 15:30 hatte ich dann kurz gepostet.

Gegen 16:00 hab ich es dank Free + Mercy wieder zum laufen gebracht.
Dies stimmt mit den Logs überein.
Direktes Scripting kann ihc eigendlich nicht feststellen. Alle Logs sind normale Aufrufe = entweder Links oder Bilder.

[22/Sep/2006:15:00:14 +0200] "GET /pages/05/Bilder/navi.tpl04_05.gif HTTP/1.1" 304 - "http://www.webspace-for-you.de/?admin&settings&webserver" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)" 
p54ba062a.dip0.t-ipconnect.de - - 

[22/Sep/2006:15:00:14 +0200] "GET /pages/05/Bilder/navi.tpl04_04.gif HTTP/1.1" 304 - "http://www.webspace-for-you.de/?admin&settings&webserver" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
webspace-for-you.de p54ba062a.dip0.t-ipconnect.de - - 

[22/Sep/2006:15:00:14 +0200] "GET /pages/05/Bilder/navi.tpl04_04.gif HTTP/1.1" 304 - "http://www.webspace-for-you.de/?admin&settings&webserver" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
p54ba062a.dip0.t-ipconnect.de - - 

[22/Sep/2006:15:00:19 +0200] "GET /pages/05/Bilder/denic_logo.gif HTTP/1.1" 304 - "http://www.webspace-for-you.de/?admin&settings&webserver" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
webspace-for-you.de p54ba062a.dip0.t-ipconnect.de - - 

[22/Sep/2006:15:00:19 +0200] "GET /pages/05/Bilder/denic_logo.gif HTTP/1.1" 304 - "http://www.webspace-for-you.de/?admin&settings&webserver" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
static-ip-217-172-168-56.inaddr.intergenia.de - - 

[22/Sep/2006:15:59:05 +0200] "GET /serverueberwachung/livewatch.php?key=4513ec2bb0070 HTTP/1.0" 200 13 "-" "-"
webspace-for-you.de static-ip-217-172-168-56.inaddr.intergenia.de - - [22/Sep/2006:15:59:05 +0200] "GET /serverueberwachung/livewatch.php?key=4513ec2bb0070 HTTP/1.0" 200 13 "-" "-"
p54ba062a.dip0.t-ipconnect.de - - 

[22/Sep/2006:15:59:03 +0200] "GET /?admin HTTP/1.1" 200 12401 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
webspace-for-you.de p54ba062a.dip0.t-ipconnect.de - - 

[22/Sep/2006:15:59:03 +0200] "GET /?admin HTTP/1.1" 200 12401 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
p54ba062a.dip0.t-ipconnect.de - -

 

[Mercenary]

Schau auch mal in das error.log und besonders in dem Zeitraum bevor etwas geschehen ist.

Aber die is ja "nur" 6.4 MB Groß. Mit 22.312 Zeilen scrollt man auch gaaanz schnell zum Ende **ironie aus**

Btw. Querverweis zu logrotate "man logrotate" ist ein guter Anfang weitere Fragen dazu ins Linux Forum.

Ich empfehle solche logs zu packen, auf den Desktop zu holen und das log dort mit einem brauchbaren Texteditor (z.B. UltraEdit) zu bearbeiten (dann kommts auch nicht zu so komischen Zeilenumbruechen wie in dem Listing da oben), da drueckt man nur STRG+ENDE und ist am Dateiende, von da aus rueckwaerts das suchen, was mal beobachten will.
Ich bin mir jetzt eben wegen der Zeilenumbrueche nicht wirklich sicher, wie Dein log zu lesen ist, vielleicht erlaeuterst Du noch das logformat, wenn Du es nicht kennst poste mal aus Deiner config die Eintraege zu den Schluesseln "logformat" und "customlog".

[22/Sep/2006:15:00:14 +0200] 
static-ip-217-172-168-56.inaddr.intergenia.de - - 

[22/Sep/2006:15:59:05 +0200] "GET [U]/serverueberwachung/livewatch.php[/U]?key=4513ec2bb0070 HTTP/1.0" 200 13 "-" "-"
webspace-for-you.de [U]static-ip-217-172-168-56[/U].inaddr.intergenia.de - - [22/Sep/2006:15:59:05 +0200] "GET /serverueberwachung/livewatch.php?key=4513ec2bb0070 HTTP/1.0" 200 13 "-" "-"

Da waere jetzt sicher interessant, was so ein System (wir erinnern uns, das ist eines der komischen Systeme) da von Deinem Apachen will, was ist denn das fuer ein script und warum wird es von einem anderen Server aus aufgerufen?
Ist es vielleicht defekt und haengt sich auf (wegen der nicht zu schliessenden Verbindungen aus dem netstat)?
Evtl. kann man da auch den MBroemme unverbindlich fragen, ob das ein Mietsystem ist oder ein "monitoring oder sonstwas" Service von Intergenia selbst (halte ich fuer aeusserst unwahrscheinlich) und ansonsten hast Du evtl. Kunden die von einem anderen System aus was mit Deinem Geraet machen wollen?
Oder laesst Du selbst da die Uptime Deines Apachen pruefen? Dann pruefe die Funktionstuechtigkeit der scripts und beobachte eben Verbindungen durch diesen host im Hinblick auf Verbindungsdauer und beim naechsten runterfahren ob die Verbindungen ordentlich getrennt werden koennen.

Wenn p54ba062a.dip0.t-ipconnect.de Dein heimischer Internetanschluss ist sind die Zugriffe auf irgendwas mit "Admin" ja auch legitim.

Davon aber abgesehen, wenn Du das log selbst auswerten willst geh so vor:

1. Zeitstrahl -> Am interessantesten sind die Ereignisse, die VOR einem Event stattfanden, welches Du dann irgendwann bemerkt hast; Es wuerde also Sinn machen z.B. die letzten Stunden VOR 15:00 Uhr besonders zu betrachten. Schliesslich will man ja wissen, was evtl. zu einem abnormalen Ereignis erst gefuehrt hat und das kann eine Weile zurueck liegen.

2. Die auffaelligen Verbindungen wurden vornehmlich von 3 hosts (mit fester IP-Adresse) aufgebaut, dann such einfach mal nach diesen 3 hosts insbesondere den localhost am besten ab 15:00 Uhr rueckwaerts bis sagen wir 12:00 Uhr.

Wenn Du uns die logs zum auswerten geben willst muessen die Ausschnitte schon etwas laenger sein. Sagen wir ein paar hundert Zeilen vor 15:00 Uhr oder die letzten paar Stunden davor (macht eher Sinn, ich kann nicht beurteilen wieviel Logzeilen bei Dir pro Minute erzeugt werden).
Kannst auch gerne eine Textdatei oder ein zip-Archiv als Ddateianhang an den Beitrag haengen (ich weiss nicht, ab welcher Groesse Thorsten rebellieren wuerde ;> ).

Ciao,
Mercy.