vServer Problem! Ddos oder so ? lt. Support zuviele Socket Prozesse

[sabo79]

Moin Leute vielleicht kann mir jemand einen Tip geben.

Und zwar ist mein vServer immer so überlastet, das er immer kurz abgeschaltet wird. Das ganze geht schon 2-3 Tage lang.
Ein Update habe ich in der Zeit nicht gemacht.

Der Support von netclusive meint:

Guten Tag,

sie kommen mit Ihrem VServer ans Limit der othersockbuffs. Sie sollten daher
prüfen, ob sie viele Anwedungen installiert haben ,die auf Sockets basieren
und diese stoppen, um das Limit nicht mehr zu erreichen.

Mit einem Angriff hat dies nichts zu tun.

Ich habe gerade mal 5 Anwendungen (wbb2 Board, witze seite, phpbb2 board etc. ) laufen wo vielleicht max insgesamt 10 User gleichzeitig online sind mehr nicht. Zu manchen Zeiten sind ab und zu sogar nur 1 oder 3 gleichzeitig online....

Innerhalb der letzen Woche haben mehere Leute aus Mexiko und China versucht sich per SSH mit hunderten von verschiedenen Benutzernamen einzuloggen (lt. var/log/auth.log) aber das geschah auch über eine bestimmte Zeit verteilt. Daran kann es auch nicht liegen. Ich habe gestern das ROOT Passwort geändert und denn SSH Port mal auch aber das Problem besteht trotzdem.

TCPDump verrät mir auch nichts :-(


Hier sind doch ein paar Profis vielleicht können die mal Ihre Meinung bekannt geben. Wer super.

Hier ist ein Screenshot (zum anklicken)


und hier die Prozesse:


Es stammt von meinen vpanel....

Danke vorab !

 

[Saint2000]

Ich bin zwar kein Linux Guru, aber das der Apache a. als root läuft und dann b. auch noch so oft als www-data weiss auch ich das da was nicht stimmt. Ich würde dir fast raten, beende mal den Apache. Und wenn noch irgendwas überbleibt als Prozess gnadenlos killen. Und dann einmal sauber starten.

Oder ist das gewünscht dass der so oft läuft? oO

Gruss

Saint

 

[HornOx]

Was sagt den "netstat -pae"?

Ich bin zwar kein Linux Guru, aber das der Apache a. als root läuft und dann b. auch noch so oft als www-data weiss auch ich das da was nicht stimmt.

Das ist für Apache normal.

 

[Saint2000]

Echt? Ok, bei mir läuft der einmal als www-data ... Aber wenn das normal ist, nehm ich alles zurück und behaupte das Gegenteil

 

[sabo79]

Danke erstmal für die schnellen antworten.

@Saint 2000 jo mit dem Apache das mein ich auch das es normal ist.

Ich habe den Rat von HornOx bevollgt und habe einen Screenshot von dem Befehl netstat -pae gemacht.

Hier ist es:

 

[Deleted member 3190]

Der Support redet von Sockets.
Poste bitte mal die Ausgabe von "netstat -aepx".

 

[sabo79]

achso.

Hier habe ich das Ergebniss:

v15:~# netstat -aepx
Active UNIX domain sockets (servers and established)
Proto RefCnt Flags Type State I-Node PID/Program name Path
unix 2 [ ACC ] STREAM LISTENING 301460 17907/nscd /var/run/.nscd_socket
unix 5 [ ] DGRAM 280281 14196/syslogd /dev/log
unix 2 [ ACC ] STREAM LISTENING 287741 15800/mysqld /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013715748 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013715734 -
unix 3 [ ] STREAM CONNECTED 3013714556 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013714547 -
unix 3 [ ] STREAM CONNECTED 3013697312 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013697253 -
unix 3 [ ] STREAM CONNECTED 3013693314 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013693272 -
unix 3 [ ] STREAM CONNECTED 3013685225 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013685202 -
unix 3 [ ] STREAM CONNECTED 3013683598 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013683582 -
unix 3 [ ] STREAM CONNECTED 3013668619 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013668598 -
unix 3 [ ] STREAM CONNECTED 3013666385 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013666371 -
unix 3 [ ] STREAM CONNECTED 3013657580 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013657533 -
unix 3 [ ] STREAM CONNECTED 3013652068 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013652051 -
unix 3 [ ] STREAM CONNECTED 3013647682 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013647681 -
unix 2 [ ] DGRAM 3013639251 -
unix 3 [ ] STREAM CONNECTED 3013638890 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013638860 -
unix 3 [ ] STREAM CONNECTED 3013604770 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013638860 -
unix 3 [ ] STREAM CONNECTED 3013604770 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013604681 -
unix 3 [ ] STREAM CONNECTED 3013597843 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013597810 -
unix 3 [ ] STREAM CONNECTED 3013592038 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013592021 -
unix 3 [ ] STREAM CONNECTED 3013578446 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013578427 -
unix 3 [ ] STREAM CONNECTED 3013576569 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013576544 -
unix 3 [ ] STREAM CONNECTED 3013575746 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013575697 -
unix 3 [ ] STREAM CONNECTED 3013574836 - /var/run/mysqld/mysqld.sock
unix 3 [ ] STREAM CONNECTED 3013574811 -
unix 3 [ ] STREAM CONNECTED 3010848262 -
unix 3 [ ] STREAM CONNECTED 3010848261 -
unix 3 [ ] STREAM CONNECTED 3010848260 -
unix 3 [ ] STREAM CONNECTED 3010848259 -
unix 3 [ ] STREAM CONNECTED 3010704372 -
unix 3 [ ] STREAM CONNECTED 3010704371 -
unix 3 [ ] STREAM CONNECTED 3010704370 -
unix 3 [ ] STREAM CONNECTED 3010704369 -
unix 2 [ ] DGRAM 318489 20135/xinetd
unix 2 [ ] DGRAM 293712 15801/logger

 

[V40]

Hallo,

nicht ganz uninteressant könnte auch die Ausgabe von :

cat /proc/user_beancounter

sein.

Da dort ja festgehalten ist was max erlaubt ist und was bereits erreicht wurde.

 

[sabo79]

Leider geht der Befehl nicht.

Bekomme die Meldung:

v15:~# cat /proc/user_beancounter
cat: /proc/user_beancounter: No such file or directory

Ich habe meine Apache2 und Mysql Einstellungen auf ein minimal geändert aber trotzdem läuft der vserver schlecht. Ein Putty Login ist oftmals nicht möglich. Erst beim 10. Mal und dann ist Slow Motion angesagt :-(

Ich habe auch mal den Apache2 und die Mysql Datenbank 4 ausgeschaltet aber das bringt überhaupt nix.

Werde ich vielleicht vom Support "verschaukelt" das doch vielleicht was mit meinem vServer ist ?