aspfred
Goto Top

Apache2 reagiert nicht mehr

Hi,

habe seit gestern Vormittag massive Probleme und weiß einfach nicht mehr weiter. Mittwochabend liefen die Webseiten noch vollkommen normal, gestern Vormittag dann auf einmal timeouts ohne Ende.

Folgendes Verhalten:
Auf den ersten Blick scheint der Webserver nicht mehr auf Anfragen von außen zu reagieren. Weder ftp noch ssh noch http... es kann evtl. kurz eine Verbindung aufgebaut werden und dann ist Schicht im Schacht. Komme dann nur noch über die serielle Konsole drauf, dort wird mir aber keine großartige Auslastung, keine Zombies oder was auch immer angezeigt. Der Server reagiert vollkommen normal.

Beende ich den Apache bzw. starte ich ihn neu, funktioniert es wieder für ca. 30 Sekunden, blocke ich Port 80 komplett von außen an der Firewall des Hosters, kann ich auf dem Server von außen wieder in voller Geschwindigkeit arbeiten, ftp usw. laufen wieder wie geschmiert. Ich kann sogar auf die Webseiten zugreifen, solange ich sie über https:// aufrufe.

An der Konfiguration hat sich seit Wochen nichts verändert, es gab keinerlei Auffälligkeiten und selbst jetzt ist in den error logs absolut nichts zu sehen, was dieses Verhalten auslösen könnte. access log ist auch unauffällig.

An den üblichen Stellen wie max connections, clients, usw. habe ich schon geschaut. MySQL sollte auch soweit passen, da wurden auch nicht durch irgendwelche Umstände Einstellungen überschrieben. Die Auslastung des Servers tendiert eigentlich gegen Null, wenn der apache läuft und freigegeben ist, sieht man den Apache manchmal hochschnellen.

Es ist nichts greifbares. Hat jemand eine zündende Idee? Was muss ich in Betracht ziehen? Einfach defekter Apache, Portflooding oder... bin grad wirklich ziemlich rat- und hilflos.


Vielen Dank schonmal vorab....

Content-ID: 160596

Url: https://administrator.de/contentid/160596

Ausgedruckt am: 25.11.2024 um 17:11 Uhr

djmugge
djmugge 11.02.2011 um 12:55:23 Uhr
Goto Top
Hallo
ich bin zwar kein Apache Experte aber habe den einen oder anderen vServer Administratoren über die Schulter geschaut, deshalb diese Aussage hier unter Vorbehalt!

Das sieht mir aus als hätte sich jemand unbefugt Zutritt verschafft und die Rechte verändert. Prüfe deshalb ALLE Logs der letzten 2-3 Tage auf Unregelmäßigkeiten. Insbesondere Abfragen und Befehle die dir unbekannt erscheinen mal von Onkel Google prüfen lassen.

Kannst du sicher sein, das sich an den Rechten nichts geändert hat? Er bricht die Verbindung nach kurzer Zeit ab - kannst du hier einen Hardware Defekt (Netzwerkkarte) ausschließen?

Am besten einen neuen root Benutzer anlegen, neues und sicheres Passwort vergeben und den alten Root Login brach legen. Sollte den jemand eingeheimst haben, ist er so erstmal aus der Schussbahn genommen. Zumindest solange wie er sich nicht bereits ein zweites Hintertürchen eingebaut hat. Das verrät die aber hoffentlich dann eines der Logfiles, sollte das passiert sein.

Viel Glück

Tobias
flitzenderelch
flitzenderelch 12.02.2011 um 15:51:03 Uhr
Goto Top
Logs auf jeden Fall durchschauen, kannst für die Hilfe auch "Logwatch" verwenden das erstellt eine Gesamtübersicht, kannst Dir dann auch per eMail schicken lassen.

Ich hätte mal ein ähnliches Problem da war dann ein Grabber am Werk der die ganzen Websites gedownloaded hat und in einer Endlosschleife gefangen war durch ein Typo3.
Sowelche kannst dann per htaccess aussperren.