PDA

Archiv verlassen und diese Seite im Standarddesign anzeigen : [Strato Server] SuSE 10.0 mit Plesk stürzt regelmäßig ab



ClausVB
08.03.07, 19:59
Ich habe einen dedicated Server bei Strato, mit
- SuSE 10.0
- Plesk 8.0
- Apache 2.x, PHP5 und MySQL 4.1.x (alles RPMs von SuSE)

Ca. alle zwei bis drei Wochen stürzt der Server ab. Folgen:
- Apache (Port 80)
- SSH (Port 22)
- Plesk (Port 8443)
- FTP (Port 21)
ist nicht mehr erreichbar. Demnach sind alle Webseiten sind down und der Server ist nicht mehr mit Putty erreichbar.

Die "messages" und die "warn" sehen für mich so aus, als würde jemand den PC im laufenden Betrieb den Strom wegziehen, sprich es ist IMHO keine klare Fehlermeldung erkennbar.

/var/log/messages

Dec 29 15:49:22 h8526 relaylock: /var/qmail/bin/relaylock: mail from 209.160.72.144:57982 (sls-gc2p11.dca2.superb.net)
Dec 29 15:49:28 h8526 relaylock: /var/qmail/bin/relaylock: mail from 72.81.141.246:60741 (pool-72-81-141-246.bltmmd.fios.verizon.net)
Dec 29 15:50:01 h8526 /usr/sbin/cron[1232]: (mailman) CMD (/usr/bin/python -S /usr/lib/mailman/cron/gate_news)

/var/log/warn

Dec 29 15:52:17 h8526 relaylock: /var/qmail/bin/relaylock: mail from 81.192.186.108:2477 (adsl-108-186-192-81.adsl.iam.net.ma)
Dec 29 15:53:44 h8526 sshd[1249]: error: PAM: Authentication failurefor root from xdsl-87-78-99-80.netcologne.de
Dec 29 16:08:59 h8526 syslog-ng[4542]: Changing permissions on special file /dev/xconsole
Dec 29 16:08:59 h8526 syslog-ng[4542]: Changing permissions on special file /dev/tty10
Dec 29 16:08:59 h8526 kernel: ip_tables: (C) 2000-2002 Netfilter core team

Der Server muss dann über die Strato-Oberfläche manuell rebootet werden.

Ich kann bei Bedarf auch längere Auszüge aus den Logfiles posten.

Sicherheitsmaßnahmen, die bisher unternommen wurden:
- alle PHP Formulare mit Mail entfernt
- Backup-Cronjobs über den Tag verteilt
- Load-Überwachung mit ServerGuard24 aktiviert

Ein Freund (und langjähriger Linuxbenutzer) von mir sagte, dass intensive RAM-Nutzung nichts ungewöhnliches ist. Der Server startet mit


total | used | free | shared | buffers | cached
503 | 304 | 199 | 0 | 14 | 124
(Ausgabe von "free -m" leicht abgeändert)

und hat nach 2 Tagen nur noch


total | used | free | shared | buffers | cached
503 | 494 | 9 | 0 | 47 | 164

Der LOAD liegt jedoch in der Regel zwischen 0 und 0,1. Ein LOAD von mehr als 2 über fünf Minuten hinweg ist erst einmal vorgekommen. Ein LOAD von mehr als 0,5 ist auch selten. Wieviel CPU-Power der Server hat, weiß ich jetzt auswendig nicht.

Fragen:
Kann es am SPAM-Aufkommen liegen? Meine MySQL-Greylisting Tabelle zeigt zwar nicht so viel Mail-Traffic, aber es könnte ja sein?
Fehlerhafte Hardware (LAN-Karte)?
DOS-Attacke, welche die Plesk-Firewall (mit IPTABLES) durchlässt?

Woran kann ein regelmäßiger Absturz eines Linux-Servers liegen?

Gruß
Claus

bla!zilla
08.03.07, 20:52
Interessant finde ich folgenden Eintrag:



Dec 29 15:53:44 h8526 sshd[1249]: error: PAM: Authentication failurefor root from xdsl-87-78-99-80.netcologne.de


Da hat jemand versucht sich aus dem Netz von Netcologne am SSH anzumelden, als root wohlgemerkt. Der Rest sieht recht normal aus. Bitte längere Logauszüge posten, vor allem kurz vor dem Absturz bis zum Absturz.

ClausVB
08.03.07, 22:47
Danke für Deine Antwort.

Ich weiß nicht genau, wie lang die Posts zu Logfiles hier sein dürfen, aber ich poste jetzt mehr. Bei Bedarf kann ich auch eine Stunde davor und danach auf meinen Webserver hochladen.

Ausfall vom 25.01.2007 zwischen 04:05:01 und 07:39:46

Jan 25 03:52:19 h8526 relaylock: /var/qmail/bin/relaylock: mail from 222.111.122.209:2795 (not defined)
Jan 25 03:55:01 h8526 /usr/sbin/cron[26097]: (mailman) CMD (/usr/bin/python -S /usr/lib/mailman/cron/gate_news)
Jan 25 03:56:57 h8526 relaylock: /var/qmail/bin/relaylock: mail from 206.72.65.175:45893 (mail.mceng.com)
Jan 25 03:57:01 h8526 /usr/sbin/cron[26102]: (mailman) CMD (/usr/bin/python -S /usr/lib/mailman/cron/nightly_archives)
Jan 25 03:58:17 h8526 relaylock: /var/qmail/bin/relaylock: mail from 194.167.48.245:36995 (mail-lms.lms.sp2mi.univ-poitiers.fr)
Jan 25 04:00:01 h8526 /usr/sbin/cron[26115]: (root) CMD (/root/cronjobs/cvb_powerhelpdesk_conf_httpd.include.sh)
Jan 25 04:00:01 h8526 /usr/sbin/cron[26121]: (root) CMD (/root/cronjobs/cvb_phd_datenbank_resetten.sh)
Jan 25 04:00:01 h8526 /usr/sbin/cron[26123]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Jan 25 04:00:01 h8526 /usr/sbin/cron[26113]: (mailman) CMD (/usr/bin/python -S /usr/lib/mailman/cron/gate_news)
Jan 25 04:00:01 h8526 /usr/sbin/cron[26119]: (root) CMD (/root/cronjobs/cvb_clausvb_conf_httpd.include.sh)
Jan 25 04:00:01 h8526 /usr/sbin/cron[26117]: (root) CMD (/root/cronjobs/cvb_php-coding-standard_conf_httpd.include.sh)
Jan 25 04:00:01 h8526 qmail-queue[26141]: mail: all addreses are uncheckable - need to skip scanning (by deny mode)
Jan 25 04:00:01 h8526 qmail-queue[26141]: scan: the message(drweb.tmp.EcZ6S2) sent by anonymous@h8526.serverkompetenz.net to root@h8526.serverkompetenz.net should be passed without checks, because contains uncheckable addresses
Jan 25 04:00:02 h8526 qmail: 1169694002.098857 new msg 6570965
Jan 25 04:00:02 h8526 qmail: 1169694002.099278 info msg 6570965: bytes 886 from <anonymous@h8526.serverkompetenz.net> qp 26144 uid 0
Jan 25 04:00:02 h8526 qmail: 1169694002.149993 starting delivery 4249: msg 6570965 to local 9-root@h8526.serverkompetenz.net
Jan 25 04:00:02 h8526 qmail: 1169694002.150501 status: local 1/10 remote 0/20
Jan 25 04:00:02 h8526 qmail: 1169694002.161857 delivery 4249: failure: This_address_no_longer_accepts_mail./
Jan 25 04:00:02 h8526 qmail: 1169694002.162624 status: local 0/10 remote 0/20
Jan 25 04:00:02 h8526 qmail-queue[26162]: mail: all addreses are uncheckable - need to skip scanning (by deny mode)
Jan 25 04:00:02 h8526 qmail-queue[26162]: scan: the message(drweb.tmp.o3Eyf9) sent by to anonymous@h8526.serverkompetenz.net should be passed without checks, because contains uncheckable addresses
Jan 25 04:00:02 h8526 qmail: 1169694002.226133 bounce msg 6570965 qp 26162
Jan 25 04:00:02 h8526 qmail: 1169694002.226251 end msg 6570965
Jan 25 04:00:02 h8526 qmail: 1169694002.227770 new msg 6571019
Jan 25 04:00:02 h8526 qmail: 1169694002.228322 info msg 6571019: bytes 1482 from <> qp 26163 uid 2522
Jan 25 04:00:02 h8526 qmail: 1169694002.242658 starting delivery 4250: msg 6571019 to local 9-anonymous@h8526.serverkompetenz.net
Jan 25 04:00:02 h8526 qmail: 1169694002.243171 status: local 1/10 remote 0/20
Jan 25 04:00:02 h8526 qmail: 1169694002.252486 delivery 4250: failure: This_address_no_longer_accepts_mail./
Jan 25 04:00:02 h8526 qmail: 1169694002.253093 status: local 0/10 remote 0/20
Jan 25 04:00:02 h8526 qmail-queue[26166]: mail: all addreses are uncheckable - need to skip scanning (by deny mode)
Jan 25 04:00:02 h8526 qmail-queue[26166]: scan: the message(drweb.tmp.uQkmEd) sent by #@[] to postmaster@h8526.serverkompetenz.net should be passed without checks, because contains uncheckable addresses
Jan 25 04:00:02 h8526 qmail: 1169694002.298178 bounce msg 6571019 qp 26166
Jan 25 04:00:02 h8526 qmail: 1169694002.298295 end msg 6571019
Jan 25 04:00:02 h8526 qmail: 1169694002.299633 new msg 6571016
Jan 25 04:00:02 h8526 qmail: 1169694002.300191 info msg 6571016: bytes 1979 from <#@[]> qp 26167 uid 2522
Jan 25 04:00:02 h8526 qmail: 1169694002.309803 starting delivery 4251: msg 6571016 to local 9-postmaster@h8526.serverkompetenz.net
Jan 25 04:00:02 h8526 qmail: 1169694002.310299 status: local 1/10 remote 0/20
Jan 25 04:00:02 h8526 qmail: 1169694002.319972 delivery 4251: failure: This_address_no_longer_accepts_mail./
Jan 25 04:00:02 h8526 qmail: 1169694002.320086 status: local 0/10 remote 0/20
Jan 25 04:00:02 h8526 qmail: 1169694002.320127 triple bounce: discarding bounce/6571016
Jan 25 04:00:02 h8526 qmail: 1169694002.320158 end msg 6571016
Jan 25 04:00:23 h8526 syslog-ng[4542]: STATS: dropped 0
Jan 25 04:04:22 h8526 relaylock: /var/qmail/bin/relaylock: mail from 194.65.151.10:1641 (smtprelay1.min-saude.pt)
Jan 25 04:05:01 h8526 /usr/sbin/cron[26196]: (mailman) CMD (/usr/bin/python -S /usr/lib/mailman/cron/gate_news)
Jan 25 04:05:01 h8526 /usr/sbin/cron[26198]: (root) CMD (/root/cronjobs/cvb_php-coding-standard.de.sh)
Jan 25 04:05:01 h8526 /usr/sbin/cron[26200]: (drweb) CMD (/opt/drweb/update.pl)
Jan 25 07:39:46 h8526 syslog-ng[4542]: syslog-ng version 1.6.8 starting
Jan 25 07:39:50 h8526 sshd[4819]: Server listening on :: port 22.
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/chargen [file=/etc/xinetd.conf] [line=26]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/chargen-udp [file=/etc/xinetd.d/chargen-udp] [line=13]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/daytime [file=/etc/xinetd.d/daytime] [line=14]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/daytime-udp [file=/etc/xinetd.d/daytime-udp] [line=13]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/echo [file=/etc/xinetd.d/echo] [line=14]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/echo-udp [file=/etc/xinetd.d/echo-udp] [line=13]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/ftp_psa [file=/etc/xinetd.d/ftp_psa] [line=14]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/netstat [file=/etc/xinetd.d/netstat] [line=13]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/poppassd_psa [file=/etc/xinetd.d/poppassd_psa] [line=16]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/rsync [file=/etc/xinetd.d/rsync] [line=13]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/servers [file=/etc/xinetd.d/servers] [line=12]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/services [file=/etc/xinetd.d/services] [line=13]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/smtp_psa [file=/etc/xinetd.d/smtp_psa] [line=13]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/smtps_psa [file=/etc/xinetd.d/smtps_psa] [line=12]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/swat [file=/etc/xinetd.d/swat] [line=12]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/systat [file=/etc/xinetd.d/systat] [line=12]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/time [file=/etc/xinetd.d/time] [line=17]
Jan 25 07:39:50 h8526 xinetd[4820]: Reading included configuration file: /etc/xinetd.d/time-udp [file=/etc/xinetd.d/time-udp] [line=14]
Jan 25 07:39:50 h8526 xinetd[4820]: removing chargen
Jan 25 07:39:50 h8526 xinetd[4820]: removing chargen
Jan 25 07:39:50 h8526 xinetd[4820]: removing daytime
Jan 25 07:39:50 h8526 xinetd[4820]: removing daytime
Jan 25 07:39:50 h8526 xinetd[4820]: removing echo
Jan 25 07:39:50 h8526 xinetd[4820]: removing echo
Jan 25 07:39:50 h8526 xinetd[4820]: removing netstat
Jan 25 07:39:50 h8526 xinetd[4820]: removing rsync
Jan 25 07:39:50 h8526 xinetd[4820]: removing servers
Jan 25 07:39:50 h8526 xinetd[4820]: removing services
Jan 25 07:39:50 h8526 xinetd[4820]: removing swat

Ausfall vom 29.01.2007 zwischen 04:36:56 und 08:53:34

Jan 29 04:00:11 h8526 syslog-ng[4542]: STATS: dropped 0
Jan 29 04:02:34 h8526 relaylock: /var/qmail/bin/relaylock: mail from 74.132.153.59:3371 (74-132-153-59.dhcp.insightbb.com)
Jan 29 04:05:01 h8526 /usr/sbin/cron[18647]: (mailman) CMD (/usr/bin/python -S /usr/lib/mailman/cron/gate_news)
Jan 29 04:05:01 h8526 /usr/sbin/cron[18649]: (root) CMD (/root/cronjobs/cvb_php-coding-standard.de.sh)
Jan 29 04:05:01 h8526 /usr/sbin/cron[18651]: (drweb) CMD (/opt/drweb/update.pl)
Jan 29 04:06:15 h8526 relaylock: /var/qmail/bin/relaylock: mail from 59.10.171.16:3227 (not defined)
Jan 29 04:10:01 h8526 /usr/sbin/cron[18684]: (mailman) CMD (/usr/bin/python -S /usr/lib/mailman/cron/gate_news)
Jan 29 04:10:01 h8526 /usr/sbin/cron[18686]: (root) CMD (/root/cronjobs/cvb_powerhelpdesk.de.sh)
Jan 29 04:10:51 h8526 relaylock: /var/qmail/bin/relaylock: mail from 59.6.233.156:2848 (not defined)
Jan 29 04:15:01 h8526 /usr/sbin/cron[18702]: (root) CMD (/root/cronjobs/cvb_www.clausvb.de.sh)
Jan 29 04:15:01 h8526 /usr/sbin/cron[18700]: (mailman) CMD (/usr/bin/python -S /usr/lib/mailman/cron/gate_news)
Jan 29 04:15:01 h8526 /usr/sbin/cron[18704]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Jan 29 04:20:01 h8526 /usr/sbin/cron[18731]: (mailman) CMD (/usr/bin/python -S /usr/lib/mailman/cron/gate_news)
Jan 29 04:25:01 h8526 /usr/sbin/cron[18777]: (mailman) CMD (/usr/bin/python -S /usr/lib/mailman/cron/gate_news)
Jan 29 04:25:01 h8526 /usr/sbin/cron[18779]: (root) CMD (/root/cronjobs/cvb_doku.clausvb.de.sh)
Jan 29 04:30:01 h8526 /usr/sbin/cron[18815]: (mailman) CMD (/usr/bin/python -S /usr/lib/mailman/cron/gate_news)
Jan 29 04:30:01 h8526 /usr/sbin/cron[18817]: (root) CMD (/usr/local/psa/admin/sbin/backupmng >/dev/null 2>&1)
Jan 29 04:30:46 h8526 relaylock: /var/qmail/bin/relaylock: mail from 84.120.118.9:4670 (84-120-118-9.onocable.ono.com)
Jan 29 04:35:01 h8526 /usr/sbin/cron[18873]: (mailman) CMD (/usr/bin/python -S /usr/lib/mailman/cron/gate_news)
Jan 29 04:35:01 h8526 /usr/sbin/cron[18875]: (drweb) CMD (/opt/drweb/update.pl)
Jan 29 04:36:13 h8526 relaylock: /var/qmail/bin/relaylock: mail from 222.255.19.70:3717 (not defined)
Jan 29 04:36:56 h8526 relaylock: /var/qmail/bin/relaylock: mail from 201.208.160.35:2498 (201-208-160-35.genericrev.cantv.net)
Jan 29 08:53:34 h8526 syslog-ng[4544]: syslog-ng version 1.6.8 starting
Jan 29 08:53:37 h8526 sshd[4788]: Server listening on :: port 22.
Jan 29 08:53:37 h8526 xinetd[4798]: Reading included configuration file: /etc/xinetd.d/chargen [file=/etc/xinetd.conf] [line=26]
Jan 29 08:53:37 h8526 xinetd[4798]: Reading included configuration file: /etc/xinetd.d/chargen-udp [file=/etc/xinetd.d/chargen-udp] [line=13]

Ausfall vom 09.02.2007 zwischen 04:14:58 und 09:25:51

Feb 9 04:14:31 h8526 qmail: 1170990871.962788 status: local 0/10 remote 20/20
Feb 9 04:14:31 h8526 qmail: 1170990871.969518 delivery 6874: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connecti on._(#4.4.1)/
Feb 9 04:14:31 h8526 qmail: 1170990871.970014 status: local 0/10 remote 19/20
Feb 9 04:14:31 h8526 qmail: 1170990871.970899 starting delivery 6875: msg 6582535 to remote iegler@childsinvestmentgroup.com
Feb 9 04:14:31 h8526 qmail: 1170990871.971009 status: local 0/10 remote 20/20
Feb 9 04:14:40 h8526 qmail: 1170990880.504403 delivery 6875: deferral: 216.86.128.140_does_not_like_recipient./ Remote_host_said:_450_<iegler@childsinvestmentgroup.com> :_Recipient_address_rejected:_User_unknown_in_virt ual_alias_table/ Giving_up_on_216.86.128.140./
Feb 9 04:14:40 h8526 qmail: 1170990880.504520 status: local 0/10 remote 19/20
Feb 9 04:14:40 h8526 qmail: 1170990880.544659 starting delivery 6876: msg 6575056 to remote ierce1@home.com
Feb 9 04:14:40 h8526 qmail: 1170990880.545149 status: local 0/10 remote 20/20
Feb 9 04:14:40 h8526 qmail: 1170990880.720266 delivery 6876: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connecti on._(#4.4.1)/
Feb 9 04:14:40 h8526 qmail: 1170990880.720431 status: local 0/10 remote 19/20
Feb 9 04:14:40 h8526 qmail: 1170990880.729344 starting delivery 6877: msg 6582637 to remote ieto@mayo.com.ar
Feb 9 04:14:40 h8526 qmail: 1170990880.729455 status: local 0/10 remote 20/20
Feb 9 04:14:47 h8526 qmail: 1170990887.400780 delivery 6862: deferral: Sorry,_I_couldn't_find_any_host_by_that_name._(#4. 1.2)/
Feb 9 04:14:47 h8526 qmail: 1170990887.400936 status: local 0/10 remote 19/20
Feb 9 04:14:47 h8526 qmail: 1170990887.401753 starting delivery 6878: msg 6582631 to remote ieta@myway.net
Feb 9 04:14:47 h8526 qmail: 1170990887.401859 status: local 0/10 remote 20/20
Feb 9 04:14:50 h8526 qmail: 1170990890.167713 delivery 6851: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connecti on._(#4.4.1)/
Feb 9 04:14:50 h8526 qmail: 1170990890.167829 status: local 0/10 remote 19/20
Feb 9 04:14:50 h8526 qmail: 1170990890.201635 starting delivery 6879: msg 6582697 to remote ig2@sbcglobal.com
Feb 9 04:14:50 h8526 qmail: 1170990890.202232 status: local 0/10 remote 20/20
Feb 9 04:14:50 h8526 qmail: 1170990890.656369 delivery 6870: deferral: CNAME_lookup_failed_temporarily._(#4.4.3)/
Feb 9 04:14:50 h8526 qmail: 1170990890.656531 status: local 0/10 remote 19/20
Feb 9 04:14:50 h8526 qmail: 1170990890.657319 starting delivery 6880: msg 6582706 to remote igblicious@verizion.net
Feb 9 04:14:50 h8526 qmail: 1170990890.657414 status: local 0/10 remote 20/20
Feb 9 04:14:53 h8526 qmail: 1170990893.538243 delivery 6880: deferral: Sorry,_I_couldn't_find_any_host_by_that_name._(#4. 1.2)/
Feb 9 04:14:53 h8526 qmail: 1170990893.538401 status: local 0/10 remote 19/20
Feb 9 04:14:53 h8526 qmail: 1170990893.539098 starting delivery 6881: msg 6582757 to remote ight@scrtec.org
Feb 9 04:14:53 h8526 qmail: 1170990893.539189 status: local 0/10 remote 20/20
Feb 9 04:14:55 h8526 qmail: 1170990895.284552 delivery 6854: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connecti on._(#4.4.1)/
Feb 9 04:14:55 h8526 qmail: 1170990895.284669 status: local 0/10 remote 19/20
Feb 9 04:14:55 h8526 qmail: 1170990895.284714 delivery 6855: deferral: Sorry,_I_wasn't_able_to_establish_an_SMTP_connecti on._(#4.4.1)/
Feb 9 04:14:55 h8526 qmail: 1170990895.284752 status: local 0/10 remote 18/20
Feb 9 04:14:55 h8526 qmail: 1170990895.284790 starting delivery 6882: msg 6582754 to remote ight@loclnet.com
Feb 9 04:14:55 h8526 qmail: 1170990895.284828 status: local 0/10 remote 19/20
Feb 9 04:14:55 h8526 qmail: 1170990895.303735 starting delivery 6883: msg 6582817 to remote igoyen@adp.edu.pe
Feb 9 04:14:55 h8526 qmail: 1170990895.303851 status: local 0/10 remote 20/20
Feb 9 04:14:56 h8526 qmail: 1170990896.361428 delivery 6881: deferral: Sorry,_I_couldn't_find_any_host_by_that_name._(#4. 1.2)/
Feb 9 04:14:56 h8526 qmail: 1170990896.361544 status: local 0/10 remote 19/20
Feb 9 04:14:56 h8526 qmail: 1170990896.361587 starting delivery 6884: msg 6582832 to remote ihong1771@givepeaceachance.com
Feb 9 04:14:56 h8526 qmail: 1170990896.361625 status: local 0/10 remote 20/20
Feb 9 04:14:58 h8526 qmail: 1170990898.174476 delivery 6882: deferral: Sorry,_I_couldn't_find_any_host_by_that_name._(#4. 1.2)/
Feb 9 04:14:58 h8526 qmail: 1170990898.174637 status: local 0/10 remote 19/20
Feb 9 04:14:58 h8526 qmail: 1170990898.175311 starting delivery 6885: msg 6582958 to remote iko@freemail.nl
Feb 9 04:14:58 h8526 qmail: 1170990898.175621 status: local 0/10 remote 20/20
Feb 9 09:25:51 h8526 syslog-ng[4579]: syslog-ng version 1.6.8 starting
Feb 9 09:25:54 h8526 sshd[4826]: Server listening on :: port 22.
Feb 9 09:25:55 h8526 xinetd[4827]: Reading included configuration file: /etc/xinetd.d/chargen [file=/etc/xinetd.conf] [line=26]
Feb 9 09:25:55 h8526 xinetd[4827]: Reading included configuration file: /etc/xinetd.d/chargen-udp [file=/etc/xinetd.d/chargen-udp] [line=13]

Falls die Einträge nach "removing swat" bzw "(...) chargen-udp" noch wichtig sind, kann ich die auch posten, der Start des "xinetd" und der anderen Prozesse erscheint mir aber normal zu sein.

Gruß
Claus

ClausVB
17.03.07, 18:13
Der Server ist am 13. und am 14. Maerz wieder ausgefallen.

Mir macht auch folgendes Sorgen:

h8526:/var/log # /var/qmail/bin/qmail-qstat
messages in queue: 5952
messages in queue but not yet preprocessed: 0
h8526:/var/log #

Und die Tatsache, dass solche Mails unter
/var/qmail/queue/mess/

Received: (qmail 10815 invoked by uid 30); 12 Mar 2007 02:32:36 +0100
Date: 12 Mar 2007 02:32:36 +0100
To: gnoel2@dairyherd.com
Subject: ATTENTION: Your account will be suspended
From: Bank of America <service@bankofamericaonline.com>
MIME-Version: 1.0
Content-type: text/html; charset=iso-8859-1
Content-Transfer-encoding: 8bit
Reply-To: Bank of America <service@bankofamericaonline.com>
Message-ID: <b8e0a5bf99b954236ce4ee72f1f83ff7@>
X-Priority: 1
X-MSmail-Priority: High
X-Mailer: Microsoft Office Outlook, Build 11.0.5510
X-MimeOLE: Produced By Microsoft MimeOLE V6.00.2800.1441
liegen.

UID #30 = Apache

h8526:~ # grep 30 /etc/passwd
wwwrun:x:30:8:WWW daemon apache:/var/lib/wwwrun:/bin/false
popuser:x:110:30:POP3 service user:/:/bin/false
h8526:~ #

Bedeutet "qmail 10815 invoked by uid 30" das Apache die Mails versendet?

Sieht irgendjemand ungewoehnliche Meldungen in den geposteten Logfiles?

Danke!
Claus

ClausVB
17.03.07, 18:30
Die Mail-Verarbeitung im Greylisting scheint kein Problem zu sein, weil es nicht viel ist:


mysql> SELECT
SUM(passed_count) AS tagessumme, DATE(create_time) AS erstellt
FROM relaytofrom
GROUP BY DATE(create_time);
+------------+------------+
| tagessumme | erstellt |
+------------+------------+
| 39 | 2007-03-01 |
| 16 | 2007-03-02 |
| 12 | 2007-03-03 |
| 30 | 2007-03-04 |
| 29 | 2007-03-05 |
| 14 | 2007-03-06 |
| 29 | 2007-03-07 |
| 27 | 2007-03-08 |
| 8 | 2007-03-09 |
| 8 | 2007-03-10 |
| 0 | 2007-03-11 |
| 1 | 2007-03-12 |
| 3 | 2007-03-13 |
| 7 | 2007-03-14 |
| 1 | 2007-03-15 |
| 3 | 2007-03-16 |
| 2 | 2007-03-17 |
+------------+------------+

Dazu kommen noch alle einmaligen geblockten Mails plus die Mails, die am Greylisting vorbeigehen.

Das sieht nicht so viel aus, als koennte es den Server zum Absturz bringen.

Bis dann
Claus

Blade
17.03.07, 19:11
Hast Du mal mit den Befehlen last und w überprüft wer sich so in der letzten Zeit am Server eingelockt hat? Möglicherweise hast Du ungebetene Gäste.

Die geposteten LOGs haben mit dem Server-Absturz nichts zu tun.

Roger Wilco
17.03.07, 20:58
Der Server ist am 13. und am 14. Maerz wieder ausgefallen.
Falls vorhanden, schau in dein Kernel Log. Das dürfte dann z. B. /var/log/kern.log o. ä. heißen.


Bedeutet "qmail 10815 invoked by uid 30" das Apache die Mails versendet?
Ja. Da missbraucht vermutlich jemand ein Kontaktformular o. ä. auf einer der Seiten, die du hostest. Im schlimmeren Fall hat jemand durch eine andere Lücke eine Shell bekommen und kann nun zumindest mit den Benutzerrechten des Apache Webservers (wwwrun) beliebige Dinge auf deinem Server anstellen.

Du solltest unbedingt:

1.) Den MTA deaktivieren und die Queue säubern.
2.) Das System, wie Blade schon sagte, auf ungebetene Gäste untersuchen.
3.) Deine (PHP?) Skripte besser absichern.

bla!zilla
18.03.07, 08:14
Deine Maschine ist eine Spamschleuder, ja. Wie die Leute vor mir schon sagten: MTA deaktivieren, Apache herunterfahren und das System untersuchen. Im Zweifelsfall Kiste neu aufsetzen und die PHP Skripte auf Schwachstellen prüfen.

ClausVB
18.03.07, 19:17
Danke fuer die Antworten. Ich muss jetzt nur noch herausfinden, wie man die Queue loescht (google wird mir sicherlich weiterhelfen). Ich habe auch schon PHP-Skripte mit "mail()" Befehl gefunden und geloescht. Sollen sich die 2 Eigentuemer der Domains ruhig beschweren.

Der Befehl "last" war auch sehr hilfreich und hat nur Logins gezeigt, die ich erwartet habe.

Der Server wird auch neu aufgesetzt, sobald ich aus meinem Urlaub zurueck bin.

Danke!
Claus

ClausVB
27.03.07, 00:52
Das Problem scheint gelöst zu sein.


messages in queue: 0
messages in queue but not yet preprocessed: 0

Der LOAD ist "von alleine" nicht mehr mehrere Minuten über 0,5 gestiegen.

Als ich jedoch einen grep über mehrere PHP-Dateien nach "mail(" habe suchen lassen, ist der LOAD auf
"3.48 | 5 Minuten=2.42 | 15 Minuten=1.31"
gestiegen. Der grep war in Ordnung und hat funktioniert. Die Treffermenge hat mehrere GB in eine Datei gespeichert. Als ich den Befehl less auf die Datei ausgeführt habe, hat er versucht die Zeilen der Datei zu berechnen.

19 Minuten später ist der Server dann ausgefallen.

Ich weiß, dass Server in meiner Firma auch einen LOAD von 12 aushalten. Diese Server sind allerdings auch besser ausgestattet.

In 19 Minuten kann natürlich viel passieren.

Was sind Eure Erfahrungen mit Maximal-LOAD-Werten? (Vielleicht liegt wirklich ein Hardware-Problem vor ...)

Danke und Gruß
Claus