• This forum has a zero tolerance policy regarding spam. If you register here to publish advertising, your user account will be deleted without further questions.

Website nicht mehr erreichbar

Spumm2001

New Member
Hallo, unsere Website ist einfach nicht mehr erreichbar und wir wissen nicht woran es liegt. Anbei mal 2 Screenshots vom Server. Was bedeuten die beiden roten Dinge? Was können wir tun?
 

Attachments

  • 29-06-2016 08-38-37.jpg
    29-06-2016 08-38-37.jpg
    193.5 KB · Views: 268
  • 29-06-2016 08-38-14.jpg
    29-06-2016 08-38-14.jpg
    55.7 KB · Views: 228
Zeig mal die Ausgabe des Befehls 'nestat -tulpen'.

Es scheint so zu sein als würde irgendein Programm viele Verbindungen gleichzeitig aufmachen - und die gleichzeitigen Verbindungen sind bei eurer Virtualisierungslösung (wahrscheinlich Virztuozzo) auf ein relativ niedriges Limit beschränkt!

Thomas
 
Ich kenn mich leider 0 aus. @Thomas, würdest du dir das vielleicht mal anschauen wollen? Natürlich nicht kostenlos. Denn ich weiß nicht mal wie ich deinen genannten Befehl abrufen kann :( Sorry
 
Ich kenn mich leider 0 aus...Denn ich weiß nicht mal wie ich deinen genannten Befehl abrufen kann

Ist jetzt nicht böse gemeint, aber bei deinem Wissensstand wäre es nicht zielführend, dich an die Hand zu nehmen und gemeinsam auf Problemsuche zu gehen. Außerdem dürfte es sich hier wahrscheinlich nicht nur um ein einzelnes kleines Problem handeln sondern um mehrere, die sich in ihrem Ergebnis potenzieren.

Ich würde dir zu folgendem Vorgehen raten:
Such dir einen professionellen Admin, der deine Grundsituation analysiert und dein aktuelles System begutachtet.
Laß dich durch ihn beraten, was du tatsächlich als Basis für dein Hobbyprojekt brauchst, denn oft reicht ein Webspace-Paket aus, es muß nicht zwangsläufig ein eigener (v)Server sein. Wenn es notwendig sein sollte, das Ganze auf einem eigenen Server zu betreiben, dann solltest du die Möglichkeit in Betracht ziehen, einen Managed Server als Basis zu nutzen.
In beiden Fällen (Webspace und managed Server) würde für dich jegliche administrative Tätigkeit wegfallen, du bräuchtest dich nicht um Updates, Upgrades oder evtl. auftretende Probleme kümmern, da diese Tätigkeiten vom Hoster erledigt werden würden. So könntest du dich ganz auf dein Kerngeschäft, dein Hobbyprojekt konzentrieren.
 
nestat -tulpen

tulpen ist zwar eine schöne Eselsbrücke, nur hilft manchmal ein Esel nicht so ganz weiter:

Da nur tcp sockets Probleme bereiten, ist -u nicht nötig.

-l zeigt nur listening sockets an, das dürfte nicht aussagekräftig sein. Deshalb besser mit -a auch die established connections anzeigen lassen.

Es kann passieren, dass mit 2x -e mehr Informationen angezeigt werden.
--
.A.
 
@.A.: Stimmt, die UDP-Dinger wären egal, aber nur listen ist doof...

Momentan ist der Server ruhig und idelt. Ich vermute die TCP-Sockets gehen aufgrund irgendeines Floods hoch und hoffe dass der nur aus einer bestimmten IP-Range kommt die man mit iptables blocken kann... (ich glaube Virtuozzo hat mittlerweile iptables Zugriff implementiert...)

Ich werde berichten wenns was zu berichten gibt. Momentan monitore ich die Seite, aber in den letzten Stunden lief alles.

Thomas
 
Hab mir das nun mal ansehen können. (nachdem bislang die ganze Zeit Ruhe war spielte mein Monitoring ab heute früh um 2 Uhr Weihnachtsbaum) Die Attacke kommt von verschiedenen IP-Adressen und sorgt dafür dass die Verbindungen im Status FIN_WAIT_2 oder TCP_CLOSE_WAIT stehen bleiben bis die numtcpsocks voll sind. Wenn das passiert gibts eine Abkühlphase (in der keine Verbindungen mehr angenommen werden) und ~10 Minuten später kommt die Attacke wieder.
Zielports sind übrigens 25, 80 und 443.

Logfiles kann ich vom Handy gerade schlecht liefern (zumal ich gerade selber nicht mehr per SSH drauf komme).

Ideen wie man nun hier weiter vorgeht?

Thomas
 
Evtl. hilft dir schon

net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_fin_timeout = 5

ggf. KeepAlive im HTTP ebenfalls niedriger setzen.

Andernfalls google mal nach "TCP Synflood" / "Half open connection" und setzt dich mit

net.ipv4.tcp_sack
net.ipv4.tcp_window_scaling
net.ipv4.tcp_keepalive_*
und was sonst alles dazu noch rausgeworfen wird auseinander.
 
wie sind denn deine aktuellen Werte für:
net.ipv4.tcp_syncookies, net.ipv4.tcp_fin_timeout und KeepAlive im HTTP?
 
Hallo MadMakz,

Syn-Cookie klingt gut, es sieht nur so aus als hat man bei Virtuozzo da keinen Zugriff drauf, 'sysctl -n' gibt keine Ausgabe genauso wie 'cat /proc/sys/net/ipv4/tcp_syncookies'.

Ich fürchte wenn ich das einstelle und reboote wird es nicht aktiv sein.
Mist-Virtuozzo...

Aber die Suchbegriffe helfen mir schonmal sehr, vielen Dank schonmal!

Thomas
 
Back
Top