Webserver messages Fragen.

[PeHeller@gmx.net]

Hallo,

ich betreibe seit Jahren einen Webserver (SUSE 13.1) bei Strato, ohne Probleme. In letzter Zeit ist der Webserver immer mal wieder für Minuten, teilweise 1-2 Stunden nicht erreichbar.
In dieser Zeit kommen auch ping Anfragen von mir, wenn überhaupt mit >100Sek Verzögerung zurück. Das Problem behebt sich dann wieder selbst ....
Die Zeiten wann es passiert sind aber, nach meiner aktuellen Erkenntnis, beliebig. Den größten Teil des Tages funktioniert alles.

Der Zugang erfolgt nur mit public-key

1. Laut Strato ... liegt nicht an Strato
2. Was kann ich alles prüfen
3. Der Server rebootet/steht nicht, über uptime geprüft.
4. Könnte es ein Angriff sein, der einfach nur die Netzleistung überfordert ?
5. In meinem Logfile (messages) habe ich, für mich ;-) fragwürdige Zeilen gefunden.

Code:

2016-11-17T11:00:08.301896+01:00 x.y su: pam_unix(su:session): session opened for user nobody by (uid=0)
2016-11-17T11:00:08.378978+01:00 x.y su: pam_unix(su:session): session closed for user nobody
2016-11-17T11:00:08.695106+01:00 x.y /USR/SBIN/CRON[16284]: pam_unix(crond:session): session closed for user root
2016-11-17T11:00:09.091002+01:00 x.y systemd[16285]: Stopping Default.
2016-11-17T11:00:09.091030+01:00 x.y systemd[16285]: Stopped target Default.
2016-11-17T11:00:09.091035+01:00 x.y systemd[16285]: Stopping Basic System.
2016-11-17T11:00:09.091039+01:00 x.y systemd[16285]: Stopped target Basic System.
2016-11-17T11:00:09.091044+01:00 x.y systemd[16285]: Stopping Paths.
2016-11-17T11:00:09.091048+01:00 x.y systemd[16285]: Stopped target Paths.
2016-11-17T11:00:09.091052+01:00 x.y systemd[16285]: Stopping Timers.
2016-11-17T11:00:09.178057+01:00 x.y systemd[16285]: Stopped target Timers.
2016-11-17T11:00:09.178084+01:00 x.y systemd[16285]: Stopping Sockets.
2016-11-17T11:00:09.178088+01:00 x.y systemd[16285]: Stopped target Sockets.
2016-11-17T11:00:09.178994+01:00 x.y systemd[16285]: Starting Shutdown.
2016-11-17T11:00:09.179813+01:00 x.y systemd[16285]: Reached target Shutdown.
2016-11-17T11:00:09.179825+01:00 x.y systemd[16285]: Starting Exit the Session...
2016-11-17T11:00:09.182022+01:00 x.y systemd[16285]: Received SIGRTMIN+24 from PID 16452 (kill).
2016-11-17T11:00:09.206134+01:00 x.y systemd: pam_unix(systemd-user:session): session closed for user root

(x.y = Servername)

Eigentlich habe ich nur 3 cronjob am laufen, alle um 23/00 Uhr .... müsste also das systembedingt sein.

Gruß
worst_case

[fork]

4. Könnte es ein Angriff sein, der einfach nur die Netzleistung überfordert ?

Nach meiner Erfahrung nicht die Netzleistung, oder genauer gesagt, die Schnittstellenkapazität der Netzwerkkarte, sondern vielleicht eher die Kapazität des Webservers.

Ganz oben auf der Liste: Wordpress bruteforce logins auf xmlrpc.php und wp-login.php und auch BF gegen andere CMS. Gefolgt von Suchmaschinenbots (Da gibt's auch so 30 verschiedene), die sich nicht drum kümmern, mit welcher Requestrate die die Seiten von Deinem Server abrufen.

Schau mal in Dein Webserver logfile und werte das mal aus, von welchen Quell-IP-Adressen wieviele Requests kommen, ...

[marce]

Ist denn sichergestellt, daß das Problem nicht auf Deiner Seite liegt? Also bei Deinem Anschluss? Oder ist die Kiste zu dem Zeitpunkt für alle weg?

Übrigens - openSUSE 13.1 - Feb 3rd 2016 - (done) (Note: Evergreen community support for 13.1 has ended.)

Ein System, welches seit über 6 Monaten keine Updaes mehr bekommt? Da würde ich mal aktualisieren...

[PeHeller@gmx.net]

Hallo,

Ist denn sichergestellt, daß das Problem nicht auf Deiner Seite liegt? Also bei Deinem Anschluss? Oder ist die Kiste zu dem Zeitpunkt für alle weg?

Übrigens - openSUSE 13.1 - Feb 3rd 2016 - (done) (Note: Evergreen community support for 13.1 has ended.)

Ein System, welches seit über 6 Monaten keine Updaes mehr bekommt? Da würde ich mal aktualisieren...

... der Webserver ist für "alle" weg.

Gruß