# Server im Nirvana, aber nicht richtig. Was ist los?

## sewulba

Hallo...

Mein bester Kumpel und ich haben einen Gentoo-Server in einem Rechenzentrum an 100MBit am Laufen. Das Gerät hat 2GB-Ram und 2 Xeons mit 2,8GHz drin. Es laufen unter anderem ein Mailserver drauf, diverse Datenbanken, CSS, CS, Apache, Firewall und noch einiges mehr drauf.

Letzte Woche Freitag war der Computer nicht mehr da. D.h. der Computer war zwar noch pingbar, die Ports die offen sein mussten waren auch offen, aber kein einziger Dienst ging mehr. Kein SSH, kein Postfix, nichts mehr hat reagiert. Also Reset veranlasst dort und siehe da, er ging wieder. Drauf gegangen per SSH und siehe da, ab dem Zeitpunkt, wo er nichts mehr gemacht hat, auch keine Logs mehr, als wäre der Kernel im Nirvana gewesen und das Gentoo wäre komplett im Nirvana gewesen.

Seit letzten Montag ging er also wieder. Jetzt, soeben ist er wieder weg. Pingbar, gewünschte Ports offen, aber kein Dienst macht mehr was.

Was ist da bloss los? Mein Kumpel und ich wissen eiinfach nicht mehr weiter. 

Ich weiss, dass das nicht viel Info ist, aber mehr habe ich leider nicht.

Bin für jeden Tipp dankbar! Helft mir mal wieder auf die Sprünge!

Gruss Sewulba   :Razz: 

PS.: Wir hatten mal zwischendurch das Problem, dass die Intel1000er Netzwerkkarte ab und zu mit dem Kernel 2.6.18-hardened (glaube ich) Probleme gemacht hatte. Aber damals ging das System bei Problemen gar nicht mehr. Er war also nicht mal pingbar. Mittlerweile haben wir den Kernel 2.6.20-gentoo-r8 drauf.

----------

## linuxexplorer

könnte das System kompromitiert worden sein? Es ist schon sehr seltsam, dass keine Logfile mehr auffindbar waren..

----------

## dakjo

DDOS Angriff? Sicherheitslücke ....

Wir ist der Server abgesichert?

Hardened-Profile? Hardened-Kernel? Firewall? Ids?

[edit]

Was ist mit der HW?

Ist das ECC-Reg Ram? Temperatur? Kann ja auch nen HW-Schaden sein das der Server einfach wegfriert.

Oder steht der zufällig bei Hetzner?

[/edit]

----------

## Marlo

 *sewulba wrote:*   

> Hallo...
> 
> ...100MBit am Laufen.
> 
> Gruss Sewulba  
> ...

 

Ich kenne Firmen, die schalten während der in Deutschland üblichen Frühstückspause, Mittagspause und eine Stunde vor den 20:00 Uhr Nachrichten einfach ab.

Was wollt ihr mit der Leitung? Und wenn es so ist wie ihr denkt! Warum nimmt ihr nicht einen 2.4'rer?

Grüße

Marlo

Sorry kids, das MS$ gemurmel über Sicherheit mache ich nicht mit.

----------

## ConiKost

Interessant ... vor paar Tagen hatte mein Gentoo vServer 1:1 das selbe Problem

----------

## hermanng

Es gibt ein paar Dinge, die Ihr tun könntet.

Periodisch (so alle Minute) Temperatur messen (die Hardware kann das hoffentlich) und protokollieren.

Außerdem würde ich einen Mitschrieb der Systemlast machen (nach CPU-, Memory- und IO-Ressourcen- Verbrauch). Auflisten der größten Ressourcen-Verbraucher.

Ich hatte in meinem Heimnetzwerk ähnliche Probleme (wahrscheinlich thermisch bedingt) die zum "Loopen" einzelner Anwendungen führten (CPU-Verbrauch=100%)

----------

## Gibheer

Bei mir hat ein Server auch mal dieses Verhalten gezeigt, allerdings war da das fs inklusive platte nicht mehr ganz in ordnung. Da waren dann nur noch Fehlermeldungen auf dem Bildschirm, das ein schreiben nicht mehr moeglich sei usw.

Nur das es so ein problem auch auf nem vServer gibt, macht es etwas schwerer herauszufinden, was da los ist.

Kannst du den Server nach hause holen und mal auf Herz und Nieren pruefen?

----------

## sewulba

Hallo...

Als erstes mal vielen dank für die Rege Beteiligung.

Ich kann leider nur die Temperaturen von den Festplatten auslesen. Leigen zwischen 38 - 40°C. Die Temperaturen der CPU´s leider nicht. als ich Ihn noch zu Hause in einem nicht klimatisierten Raum benutzt habe ist die CPU nicht wärmer geworden als 42°C. Meistens zwischen 33-37°C.

Ich habe sicherheitshalber alle PWs geändert und nach ROOTKits überprüft. Firewall und IDS laufen. 

Mir ist folgendes aufgefallen. Gestern als er wieder an war hatte ich eine unheimliche Last auf MySQL. Mal 23%, dann wieder 141%.

Da war ein MSN-Bot und Cuill-Bot und Yahoo gleichzeitig auf meinem Webserver und hat die Echtzeitstatisiken meines Spieleservers (MySQL-basierend) gescannt. Habe jetzt diese in Robots.txt als Disallow gesetz. Vielleicht war der Server einfach vollkommen überlastet?

Hardware läuft einwandfrei. Verwende ECC-REG-Speicher drin. Ist auch ok!

Ich denke der MySQL ist der knackpunkt. Hat jemand eine gute Doku für mich um den MySQL zu optimieren auf mein System?

Hat vielleicht jemand noch ne bessere Idee was los sein kann? Ich weiss ja dass Intel1000er-Netzkarten in der Vergangenheit ab und zu Probleme gemacht haben. Aber das ist doch mittlerweile behoben oder?

Gruss Sewulba  :Wink: 

----------

## b3cks

 *sewulba wrote:*   

> Ich denke der MySQL ist der knackpunkt. Hat jemand eine gute Doku für mich um den MySQL zu optimieren auf mein System?

 

MySQL mit einer Standard-Konfiguration laufen zu lassen, kann schon recht fatal sein. Man findet dazu allerdings auch mehr als genügend im Web. Wer es bequem mag und nicht die 100%ige-Optimierung braucht oder sich so tief in die Materie verbohren möchte, ist mit dem tuning-primer-Script sicherlich recht gut bedient. Link: http://www.day32.com/MySQL/

----------

## Silicoid

Du solltest auch mal schauen, ob die vielleicht die File Handles ausgegangen sind. Dann "steht" die Maschine so lange, bis wieder einige File Handles zugemacht wurden.

Wieviele hast du denn derzeit offen?

```

cat /proc/sys/fs/file-nr

```

----------

## sewulba

Das einzigste was ich nun noch bräuchte ist eine Möglichkeit zu verhindern, dass eine Seite mehr als 3mal innerhalb von 5 Sekunden aufgerufen werden kann von der gleichen IP. Gibt es da etwas? Ich habe leider per google nichts gefunden. Hatte gehofft, dass ich eventuell per htaccess das machen könnte!

SeW

----------

## b3cks

Ich nehme mal an, dass du den dicken Indianer benutzt. Zumindest steht das ja oben so.  :Wink:  Ob es eine Konfiguration gibt, die genau deinem Wunsch entspricht, weiß ich nicht. Aber ich denke hier ist immerhin ein Ansatz:

http://httpd.apache.org/docs/2.0/de/mod/mpm_common.html#maxclients (Ab hier und weiter unten.)

----------

## sewulba

Danke für Deine hilfe. Habe es mal eingestellt.

Last bei einer Person auf MySQL geht zwar immer noch auf bis zu 60% hoch. Denke aber damit kann ich leben!    :Shocked: 

Sewulba

----------

