Was genau macht mein vServer da?

[voodoo44]

Hallo Leute,

da mein vServer in letzter Zeit eine Menge Daten versendet, habe ich mir die Logs angeschaut und versucht zu reproduzieren, woher die Last des Apache2 kommt.

Dabei ist mir folgendes aufgefallen (syslog):

Oct 1 10:36:34 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regenwasserversickerung.at/ANY/IN' denied
Oct 1 10:36:34 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regenwetter.at/ANY/IN' denied
Oct 1 10:36:34 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regenwurm.at/ANY/IN' denied
Oct 1 10:36:34 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regenzeit.at/ANY/IN' denied
Oct 1 10:36:34 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reger-rieger.at/ANY/IN' denied
Oct 1 10:36:34 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reger.at/ANY/IN' denied
Oct 1 10:36:34 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regeto.at/ANY/IN' denied
Oct 1 10:36:34 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regeu.at/ANY/IN' denied
Oct 1 10:36:34 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regfish.at/ANY/IN' denied
Oct 1 10:36:34 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regforum.at/ANY/IN' denied
Oct 1 10:36:34 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reggae.at/ANY/IN' denied
Oct 1 10:36:34 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reggaeboyz.at/ANY/IN' denied
Oct 1 10:36:34 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reggaejam.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reggaemountain.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reggaemusic.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reggea.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regger.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regi.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regierung.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regierungsberater.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regiestuhl.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regieverband.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regimentskapelle.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regin.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regina-coiffure.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regina-hofer.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regina-kosmetik.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regina-leutgeb.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regina-pfurtscheller.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regina-primus.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regina-schuhe.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regina-steininger.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regina-textil.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regina-time.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regina-totz.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regina-wintersperger.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regina.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reginadellamore.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reginahaendler.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reginahammer.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reginaholzleitner.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reginahotel.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reginakuechen.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reginaplaza.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reginas-naehzubehoer.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reginashop.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reginexomatic.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'reginfo.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-abo.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-ad.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-anzeigen.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-auktion.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-beobachter.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-chat.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-direct.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-direkt.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-event.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-extrablatt.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-friends.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-haus.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-herzblatt.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-immobilien.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-imst.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-internet.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-kaffee.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-kauf.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-kleinanzeigen.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-kraftfahrzeuge.at/ANY/IN' denied
Oct 1 10:36:35 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regio-mobil.at/ANY/IN' denied

Diese Liste geht ewig so weiter. Was genau ist das denn?
Laut Google soll das wohl eine Art DNS-Attacke sein.

In der daemon.log stehen im übrigen die gleichen zeilen drin.

Dazu gesellen sich in der daemon.log noch folgende Einträge:

Oct 1 19:22:33 vs170245 proftpd[11557]: vs170245.vserver.de - mod_delay/0.6: error opening DelayTable '/var/run/proftpd/proftpd.delay': No such file or directory
Oct 1 19:22:33 vs170245 proftpd[11557]: vs170245.vserver.de (213.23.152.226[213.23.152.226]) - mod_delay/0.6: unable to open DelayTable '/var/run/proftpd/proftpd.delay': No such file or directory
Oct 1 19:22:33 vs170245 proftpd[11557]: vs170245.vserver.de (213.23.152.226[213.23.152.226]) - FTP session opened.
Oct 1 19:22:33 vs170245 proftpd[11557]: vs170245.vserver.de (213.23.152.226[213.23.152.226]) - FTP session closed.

Als ob sich einer versucht einzuloggen, keinen Zugang bekommt und dann wieder ausgeloggt wird.

Kann mir hier ggf. jemand helfen, wie genau ich diese Zeilen zu interpretieren habe?

 

[1fire.hosting]

Oct 1 10:36:34 vs170245 named[11361]: client 213.239.201.228#53323: query (cache) 'regenwasserversickerung.at/ANY/IN' denied

Das alles sind Anfragen an den Nameserver der auf deinem vServer läuft, hier wird versucht die jeweiligen Domains über deinen Nameserver aufzulösen, was aber von deinem NS verweigert (denied) wird, da die Domains bzw. die Zone-Files dazu nicht auf deinem NS existieren.

Die Frage ist hier betreibst du den Nameserver regulär bzw. wird dieser von dir genutzt oder läuft er einfach nur zum "Spass" im Hintergrund mit. Sofern er nicht genutzt wird, würde ich diesen in jedenfall abschalten bzw. komplett vom System entfernen.

Das ganze hat aber nichts mit dem Apache zu tun sondern nur mit dem Nameserver der da läuft.

 

[voodoo44]

Wie bekomme ich denn raus, ob ich einen DNS Server auf meinem System habe, den ich definitiv benutze?

Ich kann dir sagen, dass ich eine Standardeinrichtung (mit ein paar Modifikationen) von S4Y nutze - also ein Debian 5 mit aktuellem Plesk 9.5.2.

Vorerst wurde von mir der Dienst "bind9" (der wohl den Dienst "named" verwaltet[??]) beendet und läuft soweit nicht mehr - der Rest der Webseiten scheint erstmal ordentlich und sauber weiterzulaufen. Auch ein ipconfig /flushdns im Windows mit erneutem Aufrufen der Webseite brachte keine Probleme.

Jetzt noch die Frage: Im Plesk gibt es ja die Option des "DNS-Zonen-Template" - das hat doch aber imho nichts mit einem richtigen "DNS-Server" zu tun, welcher genutzt wird - oder doch?

Unter diesen DNS-Zonen-Template-Einstellungen habe ich aktuell nur die Standard-Konfiguration drin:

Host	Eintragstyp	Wert
	<domain>.	NS	ns.<domain>.
	<domain>.	A	<ip>
	<domain>.	MX (10)	mail.<domain>.
	<domain>.	TXT	v=spf1 +a +mx -all
	<ip> / 24	PTR	<domain>.
	ftp.<domain>.	CNAME	<domain>.
	mail.<domain>.	A	<ip>
	ns.<domain>.	A	<ip>
	webmail.<domain>.	A	<ip>

Da nun der Nameserver nicht mehr läuft - funktioniert die interne Verwaltung meiner Hosts noch auf meinem Server? Sollte doch eigentlich, oder?

Innerhalb meines Control-Panels für die Domainverwaltung (liegt bei EUServ, nicht bei S4Y wie der vServer) ist zumindest kein direkter Nameserver auf meinem "Nameserver" auf dem vServer angegeben. Dafür nutze ich die vom Provider vorgegebenen NS.

Oder hänge ich mich hier grade an "NS vs DNS" auf?

Zum Thema Apache:
Da komme ich deshalb drauf, weil mir manchmal alle Apache-Prozesse eine CPU Auslastung von 100% reinballern - und das obwohl m.E. nicht wirklich viele User auf meinen Portalen unterwegs sind - zumal ich eben nicht der Meinung bin, dass von jetzt auf 1 Minute später mit einmal statt 2-3 Leute im Forum knappe 50 unterwegs sind.
In welche Logs sollte ich denn schauen, wenn ich wissen möchte, was mein Apache gerade macht?

<b>Warning</b>:  Directive 'register_long_arrays' is deprecated in PHP 5.3 and greater in <b>Unknown</b> on line <b>0</b><br />
<br />
<b>Warning</b>:  Directive 'safe_mode' is deprecated in PHP 5.3 and greater in <b>Unknown</b> on line <b>0</b><br />
<br />
<b>Warning</b>:  Directive 'magic_quotes_gpc' is deprecated in PHP 5.3 and greater in <b>Unknown</b> on line <b>0</b><br />

Diese Meldungen bekomme ich aktuell auch öfter mal (verständlich, nach einem Upgrade von PHP5.2 auf PHP5.3).
Die rühren vermutlich auch vom Webmailer Horde her, welchen ich jetzt erstmal deaktiviert habe (ATMail spuckt die gleichen Fehler aus. Da ich diese Webmailer jedoch nicht brauche, habe ich sie erstmal deaktiviert).

Wie schon erwähnt: Kann ich irgendwie nachvollziehen, woher diese ganzen Anforderungen an den Webserver kommen, bzw. was genau den Apache so auslastet?
Aktuell ist es ja ziemlich ruhig und viel Traffic ist auch nicht aufgekommen. Ziehe ich die ~600 MByte des Backups ab (welches via FTP an einen externen Backupserver geht), komme ich auf vielleicht ~30MB (jeweils rein und raus) gestern - das ist nun wirklich nicht viel. Es gab aber auch schon Tage, da waren es gut ein GB.

 

[Huschi]

Wie bekomme ich denn raus, ob ich einen DNS Server auf meinem System habe, den ich definitiv benutze?

Wenn er nicht in der /etc/resolv.conf steht, brauchst Du ihn nicht.
Testen: /etc/init.d/bind9 stop ; ping google.de

Alle anderen Fragen beantwortest Du Dir eigentlich selber:
Von Zuhause nutzt die DNS-Auflösung von [T-Online|Alice|....], Deine Domains liegen bei einem externen Provider und die Zone-Files/-Templates sind nur interessant, wenn Dein Server als Nameserver genutzt werden würde.

Da komme ich deshalb drauf, weil mir manchmal alle Apache-Prozesse eine CPU Auslastung von 100% reinballern

Vergiss nicht, dass Du einen vServer hast. Ein anderer vServer auf dem selben Host kann Deinen ausbremsen und somit "Lastspitzen" erzeugen die gar nicht vorhanden sind.
Dazu kommt, das gerade Apache auch mal ungeahnte Lasten erzeugen kann. Dies kommt z.T. vom MPM-Prefork, welcher zum Beenden und/oder Neustarten eines Childs schon mal rödeln kann. Schuld kann auch ein Modul haben (z.B. PHP oder ein PHP-Cache). Das wirst Du in den Logfiles auch nicht finden.

Directive 'register_long_arrays' is deprecated in PHP 5.3 and greater in

Diese Warnungen lassen sich in der php.ini ausschalten. Entweder diese Direktiven dort entfernen oder bei error_reporting die E_CORE_WARNING raus nehmen.

Kann ich irgendwie nachvollziehen, woher diese ganzen Anforderungen an den Webserver kommen, bzw. was genau den Apache so auslastet?

(Falls es der Apache ist...)
Aktiviere das mod_status-Modul und setzte "ExtendedStatus On".

huschi.