Zawiech serwera - gdzie znaleźć przyczynę?

[NetJaro 0]

Witajcie.

 

Dzisiaj mój serwer złapał zawiechę. Dostałem informację, że to wina jednego z użytkowników, dostałem konkretny login.

Jest to konto reseller. Jak mogę sprawdzić czy to faktycznie jego wina? W logach dostepnych przez DA nic ciekawego nie znalazłem.

 

Edit: Może jest jakiś program co zapisuje mi gdzieś kto i co generuje mi dużo obciążenie?

 

Dzięki za pomoc.

Pozdrawiam,

Marcin.

[Gość Active-Hosting]

Witajcie.

 

Dzisiaj mój serwer złapał zawiechę. Dostałem informację, że to wina jednego z użytkowników, dostałem konkretny login.

Jest to konto reseller. Jak mogę sprawdzić czy to faktycznie jego wina? W logach dostepnych przez DA nic ciekawego nie znalazłem.

 

Edit: Może jest jakiś program co zapisuje mi gdzieś kto i co generuje mi dużo obciążenie?

 

Dzięki za pomoc.

Pozdrawiam,

Marcin.

W logach da mało widać sprawdź systemowe nie wiem jaki masz os ale poszukaj.

Mam też taki problem od kilku dni dziś zlokalizowałem tą przyczynę...

[NetJaro 0]

A gdzie te logi się znajdują?

[Gość Active-Hosting]

Da je odczytuje więc ścieżkę chyba widzisz

cd /var/log

masz tam troszkę plików miłego szukania przyczyny zawieszania

[NetJaro 0]

Hm, znalazłem coś takiego (logi httpd):

[error] (client: XXX) request failed: error reading the headers

[error] (client: XXX) request failed: error reading the headers

(Wtedy serwer złapał zawiechę. Po uruchomieniu:)

[warn] RSA server certificate CommonName (CN) 'localhost' does NOT match server name?!

.

Ten [warn] często sie powtarza. XXX - wycięty IP.

 

Edit: TUTAJ screen ostatnich logów crona przed zawiechą serwera.

[Gość Active-Hosting]

w ogóle wgrałeś anty ddos ;] ? oraz takie małe coś(zapomniałem jak się nazywa) co blokuje limit połączeń z jednego adresu na ftp pocztę itp. ?

 

 

Ediit// Wyłącz userą crona jeżeli wykorzystują go do wysyłania automatycznych mega paczek emaili z twojego serwera.... albo ustawiają skrypty do odpalania automatycznego które są błędnie skonfigurowane i powoduję zawieche...

[Matjas 2]

Ediit// Wyłącz userą crona [..]

 

Że niby komu?

[NetJaro 0]

Nie wgrywałem żadnego anty-ddosa. A co polecasz?

Dodatkowe logi: TUTAJ logi /var/log/messages. Wpisz o weblogues.com powtarza się praktycznie co kilka sekund...

[Gość Active-Hosting]

Że niby komu?

Temu co ma u niego resellera.

Zrób tak:

wget http://www.inetbase.com/scripts/ddos/install.sh

później

chmod a+x install.sh

./install.sh

iptables -I INPUT -s weblogues.com -j DROP

i chyba wystarczy...

[xorg 693]

Userom a nie "userą", w liczbie mnogiej piszemy "om".

[NetJaro 0]

OK, dzięki.

Co jeszcze polecacie, aby uchronić się przed takimi wydarzeniami?

Planuję zainstalować PHP jako fcgi aby wiedzieć jaki użytkownik aktualnie dużo zajmuje pamięci.

Co o tym sądzicie?

[Gość Active-Hosting]

OK, dzięki.

Co jeszcze polecacie, aby uchronić się przed takimi wydarzeniami?

Planuję zainstalować PHP jako fcgi aby wiedzieć jaki użytkownik aktualnie dużo zajmuje pamięci.

Co o tym sądzicie?

 

Dobra myśl możesz też wprowadzić ograniczenia cpu oraz ram aktualnie sam nad tym rozmyślam.

[NetJaro 0]

Co jeszcze polecacie?

Jakieś programy mierzące obciążenie, logujące dane użytkowników?

Może jakieś zabezpieczenia przed brute-force, ddos i innymi atakami?

Pozdrawiam.

 

Hm, wyskakuje mi:

[root@serwer iptables-1.4.1]# iptables -I INPUT -s weblogues.com -j DROP

iptables v1.4.1: host/network `weblogues.com' not found

Try `iptables -h' or 'iptables --help' for more information.

[Gość]

Kurczę, dobrze, że ja nie zakładam krzaka : )

[Gość Active-Hosting]

to wpisujesz jako root

iptables -I INPUT -s weblogues.com -j DROP

enter i już się dodaje adres do zablokowanych znajdź jeszcze ip tego czegoś i wpisz zamiast adresu.

 

 

 

Sponsi trzeba pomagać może nie ma krzaka tylko swój host na swoje potrzebny a ty już krytykujesz ze krzak

[NetJaro 0]

Sponsi, żaden krzak

Serwer jest na moje strony, serwer gier

Nie mam zamiar zakładać hostingu, ani się kierować w tą stronę - jak widzicie, jestem początkujący

Więc, spokojnie

 

Active-Hosting, wpisuję tak pod roota i:

 

[root@serwer bfd]# iptables -I INPUT -s weblogues.com -j DROP

iptables v1.4.1: host/network `weblogues.com' not found

Try `iptables -h' or 'iptables --help' for more information.

[root@serwer bfd]#

Dodam, że musiałem instalować iptables, ponieważ nie miałem ich zainstalowanych...

[Gość Active-Hosting]

jak to debian to wgraj z apt-get install iptables jak inny to napisz w końcu jaki hehe Pozdrawiam i do jutra...

[NetJaro 0]

Zadziałała u mnie komenda yum install iptables. System do RH.

Zainstalowałem.

Jednak ciągle ten sam komunikat.. iptables są zainstalowane, wydaje mi się, że to zła komenda.

[exa 0]

Specjaliści . Active-hosting

iptables v1.4.1: host/network [b]`weblogues.com' not found[/b]

Mam tłumaczyć dalej? Z resztą widać to też na logach.

 

NetJaro, o mod_easive sobie poczytaj, tu masz darmowy rozdział z książki "Apache. Zabezpieczenia aplikacji i serwerów WWW": ftp://ftp.helion.pl/online/apazab/apazab-5.pdf. Ale to później, najpierw znajdź przyczynę awarii zamiast "łatać" wszystko na oślep.

 

Ediit// Wyłącz userą crona jeżeli wykorzystują go do wysyłania automatycznych mega paczek emaili z twojego serwera....

W takich sytuacjach to się ustawia limity na pocztę wychodzącą a nie crona wyłącza (jakby cron był potrzebny do spamowania).

 

Dostałem informację, że to wina jednego z użytkowników, dostałem konkretny login.

NetJaro powinieneś zacząć od napisania jaki dostęp i na jakim poziomie do Twojego serwera mają użytkownicy. Poza tym od kogo dostałeś taką informację o winie użytkownika? Ktoś już sprawdzał serwer?

 

Wróżenie ze szklanej kuli pozostawiam specjalistom

[NetJaro 0]

@exa, dzięki za zainteresowanie się moim tematem

 

NetJaro powinieneś zacząć od napisania jaki dostęp i na jakim poziomie do Twojego serwera mają użytkownicy. Poza tym od kogo dostałeś taką informację o winie użytkownika? Ktoś już sprawdzał serwer?

Nie bardzo rozumiem. Niektórzy użytkownicy mają dostęp do ssh. Teraz poblokowałem różne funkcje w PHP.

Informację tą dostałem z serwerowni (musiałem do nich napisać, by zresetowali serwer). Nikt narazie nie sprawdzał serwera, sam próbuję (pisząc tutaj) znaleźć przyczynę zawiechy.