Bekijk Volledige Versie : Dedicated server reageert zeer slecht, traag en soms geen verbinding.
Hallo,
Ik draai een dedicated server bij pcextreme.nl.
Intel C2 Quad 2.33
4096 MB RAM
500 GB harddisk
1000 GB verkeer
100 Mbit uplink
In de server is een CHAT (visichat) geinstalleerd.
Ik heb ook nog een virtual hosting bij pcextreme.nl
Vroeger was de chat geinstalleerd......
Bestanden --> Virtual hosting
Traffic --> Dedicated server
Mysql --> Dedicated server
Dus Virtual hosting en Dedicated server waren samen verbonden!
Twee maanden heeft de server en chat probleemloos gewerkt!!
Na een ddos aanval bij pcextreme.nl kon de chat (Bestanden --> Virtual hosting) geen verbinding maken met server (Mysql --> Dedicated server).
Foutmelding visichat: Lost connection to MySQL server at 'reading initial communication packet', system error: 104
Daarna heeft de VISICHAT company voorgesteld om de Bestanden --> Virtual hosting naar de SERVER te verplaatsen zo kon de chat verder verbinding blijven maken.
Eerste dag heeft de chat goed gewerkt maar daarna reageert de server met moeite.
Sinds dat alles is geinstalleerd op de server loopt het niet lekker...
Server is soms helemaal offline, ik kan de server niet bereiken via http://ip.
Ik kan de server ALTIJD via WINSCP controleren, ik krijg verbinding ALTIJD en ik kan de bestanden bekijken ALTIJD.
Maar 's morgens is de server WEL online en werkt perfect. http://ip.
Maar 's avonds werkt de server soms met moeite soms helemaal niet. http://ip.
Nu is volgende, ik heb gelezen en sommige zeggen apache herstarten en aantal andere methodes maar het lukt mij niet om het in orde te brengen gelijk dat vroeger was!
Ik heb contact genomen met pcextreme.nl ze zeggen dat logs goed zijn en geen problemen weergeven.
Pcextreme vraagt mij per uur ...euro om de technische dienst te laten kijken..
Nu ik vindt het een beetje raar het is mijn fout niet en in eens betalen voor iets dat u schuld niet is...
Wat denken jullie hier over?
Wat kan ik verder doen?
Denken jullie dat mijn server wordt gehackt..?
Als jullie iets meer willen weten van de server of als jullie iets voorstellen om te doen, je mag gerust jou gedacht zeggen.
Sorry dat ik zoveel geschreven heb maar ik zit in een GROOT probleem ik verlies de chatters, dat is geen goede teken..
Bedankt voor jullie tijd.
Wanneer je zelf de kennis niet hebt, dan zou ik toch pcextreme even laten kijken. Zo duur zal dat niet zijn. Ik kan me nl niet voorstellen dat ze daar uren mee bezig zijn om de fout op te zoeken
Wanneer je zelf de kennis niet hebt, dan zou ik toch pcextreme even laten kijken. Zo duur zal dat niet zijn. Ik kan me nl niet voorstellen dat ze daar uren mee bezig zijn om de fout op te zoeken
Ik begrijp het maar dat kan zeer snel oplopen naar 100 euro of 200 euro.
Voor een DDOS AANVAL dat bij pcextreme gebeurt is, vind tik niet dat mijn schuld is.
Ik zou graag iets zelf bij leren en zelf naar een oplossing zoeken want het is belachelijk als je niet weet wat er geinstalleerd is in de server en hoe dat ongeveer werkt!
Maar idd ik heb ook zitten denken om pcextreme te laten kijken...
Danku voor jou reactie
Wanneer je zelf de kennis niet hebt, dan zou ik toch pcextreme even laten kijken. Zo duur zal dat niet zijn. Ik kan me nl niet voorstellen dat ze daar uren mee bezig zijn om de fout op te zoeken
Weet jij waar het probleem aan ligt dan ;-)? Oftewel er gaat als je pech hebt een halve dag in zitten.
Ik begrijp het maar dat kan zeer snel oplopen naar 100 euro of 200 euro.
Voor een DDOS AANVAL dat bij pcextreme gebeurt is, vind tik niet dat mijn schuld is.
Ik zou graag iets zelf bij leren en zelf naar een oplossing zoeken want het is belachelijk als je niet weet wat er geinstalleerd is in de server en hoe dat ongeveer werkt!
Maar idd ik heb ook zitten denken om pcextreme te laten kijken...
Danku voor jou reactie
Ik kan me niet voorstellen dat een DDOS aanval van maanden geleden er nu voor zorgt dat jou server traag is. Technisch gezien valt dat ook niet te verklaren. Aangezien de server unmanaged is (je doet het management zelf) zul je er voor moeten betalen.
Is het niet zo dat er tegenwoordig meer bezoekers op je chat komen en de server daarom trager wordt?
Het is natuurlijk onzin dat het niet jouw schuld is, een ddos van weken geleden heeft hier niets mee te maken. Als de server traag is geworden is dat waarschijnlijk een fout in de software, en dat moet je zelf oplossen (m.u.v. managed contracten natuurlijk). Als je dat niet kunt dan moet je betalen, zo simpel ligt dat, heeft verder niks met je hoster te maken.
Weet jij waar het probleem aan ligt dan ;-)? Oftewel er gaat als je pech hebt een halve dag in zitten.
Ik denk of wel APACHE of wel MYSQL maar zelf heb ik weinig ervaring, ik weet, dat het niet verstandig is maar toch wil ik mijn wens verder zetten!
Ik kan me niet voorstellen dat een DDOS aanval van maanden geleden er nu voor zorgt dat jou server traag is. Technisch gezien valt dat ook niet te verklaren. Aangezien de server unmanaged is (je doet het management zelf) zul je er voor moeten betalen.
Neen de ddos aanval is niet maanden geleden gebeurt, maar twee weken geleden. Sinds dat mijn server offline was van de ddos aanval werkt mijn server niet zo goed meer!!!
Is het niet zo dat er tegenwoordig meer bezoekers op je chat komen en de server daarom trager wordt? .
Ik denk dat zo een server VEEEEEEL meer bezoekers aankan dan wat ik heb.
Ik vindt het raar waarom dat sinds de ddos aanval is gebeurd, mijn server niet meer aardig werkt!
Dank u wel voor jou reactie
Het is natuurlijk onzin dat het niet jouw schuld is, een ddos van weken geleden heeft hier niets mee te maken. Als de server traag is geworden is dat waarschijnlijk een fout in de software, en dat moet je zelf oplossen (m.u.v. managed contracten natuurlijk). Als je dat niet kunt dan moet je betalen, zo simpel ligt dat, heeft verder niks met je hoster te maken.
Ik ben het niet met je eens, mijn probleem is onstaan sinds dat de ddos aanval is gebeurd.
Ik begrijp dat het BESTE is om alles door specialisten te laten beheren, maar ik doe dit als hobby en vrije tijd en NIET voor the bussines!!!
Het is geen onzin, het is niet mijn schuld!
Dank u voor jou reactie
Neen de ddos aanval is niet maanden geleden gebeurt, maar twee weken geleden. Sinds dat mijn server offline was van de ddos aanval werkt mijn server niet zo goed meer!!
Geef je server even een reboot en kijk of het over is :)
Tim.Bracquez
12/07/09, 16:26
Ik denk dat zo een server VEEEEEEL meer bezoekers aankan dan wat ik heb.
Ik vindt het raar waarom dat sinds de ddos aanval is gebeurd, mijn server niet meer aardig werkt!
Hangt af, sommige dingen vergen eenmaal wat resources. Bij wijze van spreken kan je met 10hits / sec zo'n server al torenhoge load geven... hangt af van configuratie / wat er op draait. Dat alles moet goed bekeken worden.
Nu vertel je dat jouw server er uit heeft gelegen, vermoedelijk dan een config die het niet zo goed heeft opgepakt en hele tijd errors zit uit te gooien of oude firewall rules, of ...
Tevens zitten nu leuke scriptjes het internet rond te lopen waarmee elke kid jouw apache kan aanvallen waardoor die het lastig krijgt zonder merkwaardig dataverkeer. (echter denk ik dat het gewoon wat config / tuning werk is)
Is je data in je dadabase geoptimaliseerd en niet corrupt doordat de server uitgevallen is.
er is zoveel mogelijk...
Achja hierboven is het al vermeld geweest.
Trouwens stel dat jouw server gehackt is geweest en ze jagen er ineens enkele TB's door dan mag jij dat ook betalen aan pcextreme... dus toch maar mee opletten en iemand inhuren?
Het is geen onzin, het is niet mijn schuld
En hoe weet jij dat? Misschien heeft iemand je server gehacked en draait nu een spam programma op jouw server waardoor hij traag wordt? Als je zelf niks over servers afweet, hoe kun je dan zeggen dat het niet jouw fout is.
Verder heeft een ddos niets met jouw server te maken (mag ik hopen) en kan hij daardoor onmogelijk trager zijn geworden
Tim.Bracquez
12/07/09, 16:28
En hoe weet jij dat? Misschien heeft iemand je server gehacked en draait nu een spam programma op jouw server waardoor hij traag wordt? Als je zelf niks over servers afweet, hoe kun je dan zeggen dat het niet jouw fout is.
Eens de rekening van het extra dataverkeer komt hoor je ze wel afkomen :)
(nuja wij kunnen niet met deze info zomaar raden wat er aan de hand is, dus huur iemand in of beter nog laat de mensen van pcextreme het doen)
:lovewht:
misschien zou je kunnen vragen wat ze bij je hoster hebben aangepast tijdens of na die ddos. Zoals het nu klinkt lijkt het er zelfs een gedeelte op dat je server nog steeds onder vuur ligt, danwel geroot/gehackt is en je server voor heel andere doeleinden gebruikt wordt.
Controleer je server dus eerst eens goed op aanwezigheid van hacks/exploits/viri ook door te kijken naar de serverload/logs
verder zouden je logs al voldoende moeten laten zien om een idee te krijgen van je probleem dus begin daar eens
Geef je server even een reboot en kijk of het over is :)
Hier begint het mee, ik weet niet eens hoe dat moet, het klinkt raar maar zo is het!
Als je een reboot maakt is dat alleen restart? dus je bent dan niks kwijt (mysql, bestanden..)?
Is je data in je dadabase geoptimaliseerd en niet corrupt doordat de server uitgevallen is.
Door zelf opzoek te gaan naar informatie leer ik veel bij, ik denk eigelijk dat het probleem aan de mysql is... Zou het kunnen dat daarom zo traag werkt "soms"?
De company van de VISICHAT heeft database en alles geinstalleerd, ik denk dat daar iets is mis gelopen de laatste week, maar gelijk dat ik denk, als ik elke keer dat ik problemen heb een techniker moet betalen moet ik al snel lening gaan vragen aan de bank!!
Ik wil het zelf beetje begrijpen en begint te komen met jullie hulp!!
Eens de rekening van het extra dataverkeer komt hoor je ze wel afkomen
Ik hoop van NIET!
(nuja wij kunnen niet met deze info zomaar raden wat er aan de hand is, dus huur iemand in of beter nog laat de mensen van pcextreme het doen)
Welke informatie moet ik of kan ik door geven om jullie meer te weten wat het probleem zou zijn.
Iderdaad dat zou de BESTE oplossing zijn, laten kijken door pcextreme, maar als mij veel euro's kost.... jah dit is mijn duurste investering tot nu toe op internet...
misschien zou je kunnen vragen wat ze bij je hoster hebben aangepast tijdens of na die ddos. Zoals het nu klinkt lijkt het er zelfs een gedeelte op dat je server nog steeds onder vuur ligt, danwel geroot/gehackt is en je server voor heel andere doeleinden gebruikt wordt.
Controleer je server dus eerst eens goed op aanwezigheid van hacks/exploits/viri ook door te kijken naar de serverload/logs
verder zouden je logs al voldoende moeten laten zien om een idee te krijgen van je probleem dus begin daar eens
Pcextreme heeft mij laten weten dat de logs zeer goed zijn, dat niks te zien is!
Voorbeeld op deze moment werkt de server perfect, het is met momenten dat de server niet werkt!!
Als de server vast loopt, dan restart ik mysql en apache via winscp, na een tijd komt de server weer tot leven.
--------------------------------------------------------------
Nog iets zeer belangrijk messchien.
Als ik in mijn gegevens bekijk van mijn server in de controlpanel op pcextreme dan zie ik in de statistiek, als de server blokkeert dat VEEEL meer raffict out is dan trrafic in.
Statistiek van de server: http://i26.tinypic.com/2efly00.jpg
Iemand een idee? Of is dat normaal?
Bedankt iedereen voor jullie hulp en tijd!
Hier begint het mee, ik weet niet eens hoe dat moet, het klinkt raar maar zo is het!
Als je een reboot maakt is dat alleen restart? dus je bent dan niks kwijt (mysql, bestanden..)?
Nog iets zeer belangrijk messchien.
Als ik in mijn gegevens bekijk van mijn server in de controlpanel op pcextreme dan zie ik in de statistiek, als de server blokkeert dat VEEEL meer raffict out is dan trrafic in.
Statistiek van de server: http://i26.tinypic.com/2efly00.jpg
Iemand een idee? Of is dat normaal?
Bedankt iedereen voor jullie hulp en tijd!
Met alle respect, maar als jij dit probleem zelf wilt oplossen maar je weet niet wat een reboot is (en je bent blijkbaar te lui om te googlen) dan houd het voor mij hier op.
Verder weten wij niet wat je server allemaal doet dus we kunnen ook niet vertellen of de hoeveelheid dataverkeer raar is. Erg veel is het niet (4 mbit) maar dat je server er langzaam van wordt is wel een teken.
Mijn advies: huur iemand in en laat diegene op papier zetten wat hij heeft gedaan en trek daar je lering uit. Nu zelf gaan aankloten gaat meer kapot maken dan je lief is. Sterkte ermee.
Met alle respect, maar als jij dit probleem zelf wilt oplossen maar je weet niet wat een reboot is (en je bent blijkbaar te lui om te googlen) dan houd het voor mij hier op.
Verder weten wij niet wat je server allemaal doet dus we kunnen ook niet vertellen of de hoeveelheid dataverkeer raar is. Erg veel is het niet (4 mbit) maar dat je server er langzaam van wordt is wel een teken.
Mijn advies: huur iemand in en laat diegene op papier zetten wat hij heeft gedaan en trek daar je lering uit. Nu zelf gaan aankloten gaat meer kapot maken dan je lief is. Sterkte ermee.
Begrijp mij niet verkeerd, ik zeg nog altijd dat ik geen ervaring heb, het is een idee en wens dat ik wil... dus een chat die goed draait met webcam, microfoon en tekst, wilde ik al lang hebben.
Maar op de andere kant ik ben niet lui hoor om op te zoeken anders kwam ik niet terecht bij jullie, of ben ik verkeerd?
Ik wil altijd van de andere horen voorbeeld over reboot, messchien zeg je iets dat ik nooit gelezen of gehoord heb.. en daarom dat ik het jou zo vroeg..
Maar goed ik denk dat er andere vrijwillegers zijn die mij een beetje kunnen helpen, ik begrijp jou zeer goed en ik heb het 10x gezegd, de beste manier is om iemand te betalen en het is mss direct opgelost.
Maar ik wil zelf een beetje aan werken zodat ik volgende keer voor een klein probleem niemand moet betalen en dat ik het snel kan oplossen.
Hopelijk begrijpt u mij !!
Ps: In de server is alleen de visichat geinstalleerd niks anders.
Dank u wel
Ik denk dat het hier ophoudt. Het komt erop neer dat je OF moet betalen aan PCextreme OF dat het gewoon zo blijft als het nu is. Wat kom je hier nu eigenlijk doen? Zeggen dat je het zelf niet kan en ook niet wil betalen? Denk je nu echt dat iemand hier vrijwillig jouw server gaat managen? Dat heb je dan verkeerd gedacht.
Ik denk dat het hier ophoudt. Het komt erop neer dat je OF moet betalen aan PCextreme OF dat het gewoon zo blijft als het nu is. Wat kom je hier nu eigenlijk doen? Zeggen dat je het zelf niet kan en ook niet wil betalen? Denk je nu echt dat iemand hier vrijwillig jouw server gaat managen? Dat heb je dan verkeerd gedacht.
Neen absolut niet! wat zeg je nu!!
Ik ben iemand die de andere zeer moelijk vertrouwd, dus mijn gegevens aan iemand zo door geven NOOIT!
Ik kwam gewoon vragen naar hulp wat ik kan doen, waar het probleem zou zijn, als ik een email naar de technische dienst van pcextreme stuur dat ik kan zeggen waar het vermoede is van probleem...
Maar ja ik weet niet wat jou functie is hier op forum, maar als jullie iemand zo verwelkomen, dank u wel, het is mijn tweede dag en zo reactie van jou.
Ik kom hier namelijk HULP vragen of ben ik op de verkeerd adres beland? webhostingTALK....
webhostingtalk.nl is een discussie forum voor webhosters, door webhosters.
Jij valt volgens mij onder de categorie eindgebruiker? Maar zoals we nu al meerdere malen hebben gezegd kan het problem overal liggen, aangezien je geen enkele log hebt laten zien.
Ik kom hier namelijk HULP vragen of ben ik op de verkeerd adres beland? webhostingTALK....
Als ik je 1 tip mag geven, en die is al eerder gegeven: huur iemand met verstand van zaken in. Dat kost je een paar centen. Maar weegt niet op tegen de kosten als je box geroot wordt en er flink wat traffic verstookt wordt en jij de factuur ontvangt van je hoster. Dan vergeet ik de huur van een sysadmin die alle zooi bij je moet gaan herstellen na de hack en er flink wat uren werk aan heeft.
Je stapt tenslotte ook niet in een auto zonder rijbewijs of bestuurder met rijbewijs.
Je zou een advertentie kunnen plaatsen met de tekst dat je op zoek bent naar iemand die "effe" door je doos heen wilt wandelen & onderhouden.
Jij valt volgens mij onder de categorie eindgebruiker? Maar zoals we nu al meerdere malen hebben gezegd kan het problem overal liggen, aangezien je geen enkele log hebt laten zien.
Neen hoor daar val ik niet onder!
Ja inderdaad het probleem kan overal liggen.
Ik zeg het opnieuw ik weet ZEER weinig over dedicated server...
Ik gebruik WinSCP, kan dat het log te vinden is onder /var/log/apache2/error.log, bedoelt u dit?
Mag ik het hier posten tussen [ CODE ] [ /CODE ] ??
Het is namelijk groot....
kleine voorbeeld van
[Sun Jul 12 06:26:19 2009] [error] [client 82.00.00.000] File does not exist: /var/www/chat/members/thumbnails/5276-s-2ae4f19d4ce3ee710f6334252399278e2be0130c66556625b2 63ba5044709c13.jpg, referer: http://89.00.000.000/chat/visichat253.swf
[Sun Jul 12 06:26:19 2009] [error] [client 81.000.000.00] File does not exist: /var/www/chat/members/thumbnails/5276-s-2ae4f19d4ce3ee710f6334252399278e2be0130c66556625b2 63ba5044709c13.jpg, referer: http://89.00.000.000/chat/visichat253.swf
Dit komt het meest voor.. door dat de chat is verplaatst van virtual hosting naar dedicated server ontbreekt de thumbnails van de gebruikers (fout in de script "vermoed ik").
Dank u
Als ik je 1 tip mag geven, en die is al eerder gegeven: huur iemand met verstand van zaken in. Dat kost je een paar centen. Maar weegt niet op tegen de kosten als je box geroot wordt en er flink wat traffic verstookt wordt en jij de factuur ontvangt van je hoster. Dan vergeet ik de huur van een sysadmin die alle zooi bij je moet gaan herstellen na de hack en er flink wat uren werk aan heeft.
Je stapt tenslotte ook niet in een auto zonder rijbewijs of bestuurder met rijbewijs.
Dat is waar, mooie vergelijking trouwens!
Ik zal het dan vragen aan pcextreme zelf hopelijk wordt het opgelost en kost het mij niet te veel.
Dank u wel
Dit zijn de logs wanneer de server offline gaat...
[Sun Jul 12 07:23:41 2009] [error] [client 201.208.48.156] Invalid URI in request \x0e\xcbXK\\\xe8\x0c\xef\x01R=aR\x9a\xa4\xe3~\x10\ xf9\xf961d\xba\xf1sM<\x06=\x95RhHd\xf7\xb7\xca\xdd-\xd8k\xba\xec3\x94O\xe9\xaf\x94w\x89\xa7\x04\xa4"\xccY\x14\xf2E^\x03
[Sun Jul 12 07:23:44 2009] [error] [client 76.254.45.88] Invalid URI in request PASS k1k1
[Sun Jul 12 07:24:20 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:25:07 2009] [notice] caught SIGTERM, shutting down
[Sun Jul 12 07:25:18 2009] [notice] Apache/2.2.3 (Debian) PHP/5.2.0-8+etch13 configured -- resuming normal operations
[Sun Jul 12 07:25:48 2009] [notice] caught SIGTERM, shutting down
[Sun Jul 12 07:25:50 2009] [notice] Apache/2.2.3 (Debian) PHP/5.2.0-8+etch13 configured -- resuming normal operations
[Sun Jul 12 07:26:00 2009] [error] [client 201.208.48.156] Invalid URI in request s\xf4\xce\x85\x8b*\xbd\xaa}\xc0+n\x94\xbc\xf8\xb70 \xc4/\xc0\xfb\\\xdb\xafA\x10\xe9kO\xec+\xae`\x1c\x8b\xb 7\xad\xa2\xc8\xea\xec\xec\xbf\rI\x05\x91\xa0@\xd1, \xc2\xb5\xe2T2\xd9l\x11\xde-BC\x80<\xd9\xe6#\xfa,\x02\x87[[\xbcY\xb1\x16\x8e\xf6\xa0\xdd\xd9r_\x180\xff+lz\x9 5\xca\x0e\xc0\xb7\xc2U\xdav\x82m\x91\x8b\x11\x83]=qP\x1e\xbdR\x17#z\xeaH\xe2S"1\xe6,\xd0)\x12\x0e\xe3\xeb\x90]\xcbB;Y\xc6l\xe7@\x83l\xacvz\xa2\xe15\xa9\t
[Sun Jul 12 07:27:14 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:31:05 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:31:53 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:36:39 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:37:00 2009] [error] [client 201.208.48.156] Invalid URI in request \xd2\xf4"\xb1\xd2~O\xd5h'\xb7\xab\xa6-R\\\xb4\xdd\xb8L\xb5\x07\xdfYX\xb8\xa7\xd1<\xe5\x8a0\x95\xda_\xa5\xe6\x94]:\xdc\t\xa5\xba\x1e\xbc=5\xcb
[Sun Jul 12 07:38:13 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:42:50 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:43:55 2009] [error] [client 201.208.48.156] Invalid URI in request \xd2\xbd\x80\bt9\xc3\x9a\xdc\x87v\xaa\x80\x88D&wYb\xef:\xe8z\x02\x01K\xf9\xe7u\xab\x12\x8f\xac\x8 e\xd3\xa1\x8d_\xdeZ\xf9\xa5\x17\x9b\x89\r}\xc9\x07 `\xab\x95\xd9\x97\x05\xbcR\xb9W5\x18)\xcad\x8b\xe9 \xb6~s\xf2\xfe\x94+\xabe\xb4\xc6\xd8\x8b\x81\b\x87 \xd5\x8b[
[Sun Jul 12 07:47:33 2009] [error] [client 201.208.48.156] Invalid URI in request \xcb(\x90\xa7\xbf\xdf\x1cY\xb9\x878\xca4\xef\x1a\x da\x8f\x9f\x07*Z\xcaG~G\xe6$j\xc86\t\xa2\xdc\xb0T
[Sun Jul 12 07:48:32 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:48:53 2009] [error] [client 212.200.74.139] File does not exist: /var/www/chat/members/thumbnails/5667-s-1c399d02abef306f0b5383f9970cb17331a1d841ae34f79bd4 11c5d07327720e.jpg, referer: http://00.00.000.000/chat/visichat253.swf
[Sun Jul 12 07:48:54 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:48:54 2009] [error] [client 212.200.74.139] File does not exist: /var/www/chat/members/thumbnails/5667-s-1c399d02abef306f0b5383f9970cb17331a1d841ae34f79bd4 11c5d07327720e.jpg, referer: http://00.00.000.000/chat/visichat253.swf
[Sun Jul 12 07:48:54 2009] [error] [client 201.208.48.156] Invalid URI in request ;\xc7\x8fH\xce\xa0\xbe\xdd\xb1+\xc9\x92\xaf\xd0\xd 2\xfd\x9b\x14\xf7\x17=\x0fJ\xa3\xc2X\x81\xa6..#[\xa4\x90\xa5\\\xab\xbeL\xc5\xd0\xa91s7\xf9\xbb\x07 @(\xde\xab]\xf0\x05pf\xe2x,\xe6\xd9"\xf8\x9c{\x16\xa1\xed\xc7\xe2\xc5:\xa6"\xf1\x9d\x01\xc2aX@W\x95\xef|L\xb9\x848\xcc\x93\xb b-\xebl\xab\xa0\x9c\x8d\xc7\x8fg\t[C\xd1{\xf0f:(}&\xd4\xa8"\x18\xa1\x1d\xbb"B\xd0`\xdb\xd0\x85\xfc\x9a\x82\xad&\xce\xe3\x92
[Sun Jul 12 07:50:12 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:50:43 2009] [error] [client 201.208.48.156] Invalid URI in request <\x06\x97y\x87\xea,\xc1cK\vv)X\xfc\x95\x82\xb7
[Sun Jul 12 07:51:24 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:51:35 2009] [notice] caught SIGTERM, shutting down
[Sun Jul 12 07:52:46 2009] [notice] Apache/2.2.3 (Debian) PHP/5.2.0-8+etch13 configured -- resuming normal operations
[Sun Jul 12 07:53:00 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:53:04 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:53:08 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:53:10 2009] [notice] caught SIGTERM, shutting down
[Sun Jul 12 07:53:12 2009] [notice] Apache/2.2.3 (Debian) PHP/5.2.0-8+etch13 configured -- resuming normal operations
[Sun Jul 12 07:54:01 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:54:09 2009] [error] [client 201.208.48.156] Invalid URI in request \xdb\xd9\xc0\x02\xbb\x17\x05)V\xfd4\xa9\xab'\xd3S\ xd0\xcd\xc5\xd4\xbeK`\x9f\x84\xe4\x8e\xeez\v\x07!w \xd5zv\xcfn\xb1\x9d\xf2L\xeb\xd1gp\xe7W\xeb\x1d}$7 Fa\x96\xc9\xcd}\x9e\x1f\xd9\xd2\xc3^\xa5\x01\xb7\x 10PG\xe1\xcc\x90\xfb\xd3\x14*hp\xb1.8\xcf\xf4\x972 \xdf&\xaf\x12u\x87\x19\xfc\xf0\xe0\xa1N\x9eqM\x16l0w\xa 9&h\xdc\x85
[Sun Jul 12 07:55:03 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:55:31 2009] [error] [client 201.208.48.156] Invalid URI in request a:\xfc{[J\xeb\x93D+R\xe2]\x93\x04\x7f\xae:\xe7B\xd31@\x10\xaf\xea~\x8fx\x7f ^H\xbc\x19\xd9\x93(\xb3\x1bft\x8bA\xcc\xdb\xe7\xd7 \x9d\x9bw\xd6\xae\x85x>\x98\xb12\xd7\x9a\x9b\xd9\x97,\xde\xfexWg\xc5\xb4\ xea\xce\xdf?\x0cI\x06
[Sun Jul 12 07:56:20 2009] [error] [client 201.208.48.156] Invalid URI in request \xf8u\xa2\xeaNf\xef\xcb]\xcc\xe2\x9eP1"\xa6\xec\xd1l\xd2\xfa\x10,\xc2\xf7\b\xb6[\x1f\x82\xf5vK"6\x13\xb4\x01=e@a\xff\xe4\xce\xf8T\x17@9>\xa6\x8b\xd6/\x90f/W\x895.\xea\r\xc4\x91\xc8l\xed\x13\xa0\x96Y\x0e\xd d\xbb\x19\x88foo
[Sun Jul 12 07:56:47 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:56:54 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 07:58:01 2009] [error] [client 201.208.48.156] Invalid URI in request \xe6\x8a?3M-\x82\x83<\x82)Eh\x9e4\x13\\<\xb0\xe8\xd6\x93\x95\xc7\xf3]/C\xf6\xc6Uw#\xde\xcd\xa1,\xecGyI\xa8\xb6\xcf\xa0\x ad\x13\xabs\x01\x1c\xf9s\xe4\x80j\x97\xffa\xf2\xae \xe3\x15\xdf\x8d\x11j\xf1i3\xd4X?t\x93+\xc3\x95\xa e\x16eJ,:\x80\x02\xce\xb8\xf1~\xaf\xf5\x830\x04:2V \xc6\xf9\x81!\x8eZ\xf2\xfe\x7fan\x14e\x93\x89\xe9\ x9c\x18\xbbP\xcf\xa3d\xb4\xe7\xdc1\xb1\xfc \x95gQ\x19[r\xb0\bU\xa7\x0eG\xbb\x9b\x89\xa2\xdf\xd4\x8e\x99\ x7ft\x1al\xdf\xfe\b\xc5P\x1d\xd1\x86\x97\xd5\\d\xd d\x048'\xd0\xf7\xb8\xba_g
[Sun Jul 12 07:58:08 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:00:59 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:05:10 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:07:02 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:08:28 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:08:39 2009] [error] [client 201.208.48.156] Invalid URI in request f\x98\xa3\x06\x97E\xb6w\x1b\x8b\x88\x9b\x948t`\xad *\x18\xd3\xf9\x9e\xd9\xe0\x18\xb0\xb1+\xcb\xf0\x81 z\xe8\xf9>r\xa5+\xef\xdfE^\x92\xb1\x88\x1a\x1eBh\xbc\xe2\xc6 V@\xd2\xf1\x92\xedod\x91\rS+\xdaw1\x9e"\xe9\xcf\xfa@\xd2\xa9
[Sun Jul 12 08:09:10 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:09:17 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:10:37 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:11:10 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:11:20 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:12:02 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:12:33 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:12:38 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:13:16 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:13:17 2009] [error] [client 201.208.48.156] Invalid URI in request \xb1\xa7\xea\x02\x94\x03\xf9\xcc@\x16\xd8!\xc1i-\xa0Nwd4\xf8t\xaa\x06\xe2\x0c\xd8\xba\xc6Z\xbd\xcb ,\bJ\xbe\xed\xfd\xb3+a\x85\x069\x15\x01\xecmT\xe7# 5
[Sun Jul 12 08:13:30 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:13:47 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:14:29 2009] [error] [client 201.208.48.156] Invalid URI in request \xbd\\\x98no\xa3\x148\xefte\x0c\x1c\x1b\x11\x80\xc 9:\xf9\xdd\x88\x13$\x98\x98\xab\x89+\x18;\x80\x19' \x0f\x87\xe0\xe9\x7fs\x90}\x94\xa3&?R
[Sun Jul 12 08:15:23 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:16:42 2009] [error] [client 201.208.48.156] Invalid URI in request \xd4\x1ak2\x97\x86\xd45\x9aj\xfb\x7f"|\xd5\xd0i\x92\x1b\xa0BX\x8b\xf0Y!#\x97\\\xd8\\=2# 4.\x88\xe7\xa9\x99`\x12\x1a\x06\xdd\xb5\xc6\xee\xf 9z\xfe4d\x94\xf0\x0e\xbd\x91<\x1f\xf1\x8a\xa4\xa3\x99\xe1W\x9d\xb7z\x8df$\xf9o\ v\x1aR\xd47\b\xddRs\x88b\xb7\x7f\xdf\xfbp\x1b\xb6\ xe9^`\xef\xfa;o\x16^\x15\xbfv\x15,\xdd\x95\xe3\xd8>\xc0\xddb\x11\x16aW|\x06\x19\xcc\xa3\xd9\xd7\xe1\x a5\x04\x9cD\x1fVb\xac\xa7\xa7?QE\x10\x165\xeb\x03g \xf2p\x8b\x89\x01\x06[3U\xda>'\x96\x01Y\x97\xfc\x94\xf0S\b\xde\xee\x13g\x10\x10 \x86bOTvX
[Sun Jul 12 08:16:46 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:18:35 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:18:48 2009] [error] [client 201.208.48.156] request failed: error reading the headers
[Sun Jul 12 08:21:12 2009] [error] [client 201.208.48.156] Invalid URI in request \x89\xe9}\x8bc\x9b\xe5\xa5\xcb\xc2\xfb75T\xdd;S\x1 0N\x93\xa7o\xc2\xf1\xa5p]E\x12\xd5o5\xbdF}\x07\x8a:$\x17\xb3\xced\xa2\xe6\x a7E\xe1%\xb2\x17\x07\x9b\xbcu\x07\xa9\x02\xe1|\x03 \xabc^&\xdc\x18S\xa4\xa15`\xe8\xa7P\x80\x93\xf2=\xde:-cHK\x9d\x13O\x94\x86\xa2\xcaA?sdn\xe3\xef\x11\x8f\ xbb\xcd\xe5\xda2bH\xcc4\x9e\xf4#,\xb7\xf6\xee]_\t)\x878\xb4i\x9c\x8e\xfepG\x99J\xe9'9>\xf4\xeb'\xdb*B6,O\x97y\xe6\xe0\xac\xd9\xbe\x8c\xb 8\x9c\xc8\xcb\x12\xc9\xc0\x84\xbc\xab\x9b\xd8S.\x0 2Kq\x9c")c\xd5\xa2Y\xc2!\xe0[\xbb\x9ar\xfb:\xec\x96\x93\xfc\x18\xd9\x92\x89B\x1 4\xb4\xffg\xaa\x1e\xb3\x9f\xed\x9fi1\xc5\xd2#\\R\x fc\xd1\xb7i\xda<{\x183\xe58Q\xc7j\xe8$\xd9i\x1b\xe9\xba\x8d\x9d\xd b6\xd0\xf6\xf31\x9e\x88\xec\x81\xe6\x03\xf3\xdb\xd 1\xe8nX
[Sun Jul 12 08:22:02 2009] [notice] caught SIGTERM, shutting down
[Sun Jul 12 08:22:04 2009] [notice] Apache/2.2.3 (Debian) PHP/5.2.0-8+etch13 configured -- resuming normal operations
Tsjah,
Als je na het bekijken van die logfiles nog niet weet wat er aan de hand is, ben je écht wel een eindgebruiker...
Tsjah,
Als je na het bekijken van die logfiles nog niet weet wat er aan de hand is, ben je écht wel een eindgebruiker...
Man ik zeg het jou, het is een wens zo ben ik begonnen, in begin was geen probleem alles werkte perfect maar nu dat problemen zijn zit ik vast en besef ik het ook waar ik aan begonnen ben...
Van fouten kan je leren zeggen ze!!
inderdaad ik versta de logs niet, ik ben er niet trots op hoor:nono:
dreamhost_nl
12/07/09, 19:32
Heb je een firewall draaien op de dedi?
Gooi daar dan eerst 'ns het Venezulaanse IP-adres (201.208.48.156) in en kijk dan wat er gebeurt... Zo niet, installeer er dan ééntje... of laat dit doen... ;)
remote stack overflowtje, iemand ?
Heb je een firewall draaien op de dedi?
Gooi daar dan eerst 'ns het Venezulaanse IP-adres (201.208.48.156) in en kijk dan wat er gebeurt... Zo niet, installeer er dan ééntje... of laat dit doen... ;)
Ik denk niet dat hij SSH weet te vinden als hij ook niet weet hoe te rebooten.
Maargoed, als de TS dat wel weet, hieronder een simpele tutorial:
http://www.webhostgear.com/61.html
Bericht aan de TS:
Het is geen schande om te zeggen dat je de logs niet begrijpt of toe te geven dat je een eindgebruiker bent. Mensen zullen dan ook sneller bereid zijn om je te helpen en hun kennis met je te delen.
Ikzelf ken er ook niet veel van, maar dankzij de erg bereidwillige hulp van de vele forummembers (waarvan 3 in het bijzonder) ben ik al een eind verder dan waar ik jaren geleden stond. Als ik nu eender welk probleem heb, is het een kwestie van ofwel dit hier even te gooien, ofwel iemand aan te spreken die ik door de loop van de jaren/maanden/weken hier heb leren kennen, en wiens kennis van linuxsystemen van onschatbare waarde is! En als je geluk hebt, willen ze wel even voor nop of een kratje bier door je server wandelen. Gewoon beleefd blijven en vragen wat je schuld is...
Overigens moet je niet bang zijn om je wachtwoord hier af te geven aan iemand. Als je het niet vertrouwd : kijk de gebruiker zijn aantal posts na en de relevantie ervan. Hier kan je soms al veel uit leren.
Succes met de verdere probleemoplossing!
Heb je een firewall draaien op de dedi?
Gooi daar dan eerst 'ns het Venezulaanse IP-adres (201.208.48.156) in en kijk dan wat er gebeurt... Zo niet, installeer er dan ééntje... of laat dit doen... ;)
Ik begin meer en meer te begrijpen... nu dat je zegt over 201.208.48.156
Normaal gezien mijn chatters zijn NIET van daar!
Dus mss is een aanval !!
Ik neem morgen contact op met pcextreme, zodat deze zaak achter de rug is.
Dank u wel iedereen
Bericht aan de TS:
Het is geen schande om te zeggen dat je de logs niet begrijpt of toe te geven dat je een eindgebruiker bent. Mensen zullen dan ook sneller bereid zijn om je te helpen en hun kennis met je te delen.
Ikzelf ken er ook niet veel van, maar dankzij de erg bereidwillige hulp van de vele forummembers (waarvan 3 in het bijzonder) ben ik al een eind verder dan waar ik jaren geleden stond. Als ik nu eender welk probleem heb, is het een kwestie van ofwel dit hier even te gooien, ofwel iemand aan te spreken die ik door de loop van de jaren/maanden/weken hier heb leren kennen, en wiens kennis van linuxsystemen van onschatbare waarde is! En als je geluk hebt, willen ze wel even voor nop of een kratje bier door je server wandelen. Gewoon beleefd blijven en vragen wat je schuld is...
Overigens moet je niet bang zijn om je wachtwoord hier af te geven aan iemand. Als je het niet vertrouwd : kijk de gebruiker zijn aantal posts na en de relevantie ervan. Hier kan je soms al veel uit leren.
Succes met de verdere probleemoplossing!
Iderdaad ik heb het minstenst 5 keer gezegd dat ik geen ervaring heb met dedicated sever.
Maar idd het is waar wat u zegt.
Ik moet zeggen deze 3 uren dat ik hier ziet te kijken op deze forum dat ik VEEEL bijgeleerd heb...ik ben daar trouwens dankbaar voor.
Ik wilde net firewall installeren (met hulp van dreamhost_nl), door op google te zoek vond ik deze (http://www.ictsoftware.info/reviews/linux/210-linux-netfilter-firewall-configureren-iptables.html) website, maar in eens had ik in commando verkeerd getypt (iptables -A INPUT -j DROP) en is mijn port 80 geblokkeerd. Ik heb een email gestuurd naar pcextreme om mij weer op de juiste weg te plaatsen als ik ben begonnen.
Maar ik moet zeggen ik heb veel bijgeleerd van deze probleem!
Dank u trouwens om jou perfecte mening mee te delen.
Iderdaad ik heb het minstenst 5 keer gezegd dat ik geen ervaring heb met dedicated sever.
Maar idd het is waar wat u zegt.
Ik moet zeggen deze 3 uren dat ik hier ziet te kijken op deze forum dat ik VEEEL bijgeleerd heb...ik ben daar trouwens dankbaar voor.
Ik wilde net firewall installeren (met hulp van dreamhost_nl), door op google te zoek vond ik deze (http://www.ictsoftware.info/reviews/linux/210-linux-netfilter-firewall-configureren-iptables.html) website, maar in eens had ik in commando verkeerd getypt (iptables -A INPUT -j DROP) en is mijn port 80 geblokkeerd. Ik heb een email gestuurd naar pcextreme om mij weer op de juiste weg te plaatsen als ik ben begonnen.
Maar ik moet zeggen ik heb veel bijgeleerd van deze probleem!
Dank u trouwens om jou perfecte mening mee te delen.
Je wist natuurlijk niet wat dat commando betekende, dus typte je het zo maar in?
Het commando is helemaal niet verkeerd, het hangt er alleen vanaf op welk moment je het intypt.
rm -rf /* iemand? :thumbup:
Zorg dat je weet wat de commando doet... Die van DutchTSE net verwijdert alles in je root folder (oftewel je hele OS) :)
Zorg dat je weet wat de commando doet... Die van DutchTSE net verwijdert alles in je root folder (oftewel je hele OS) :)
Goedemorgen..
Ik denk nog laat ik mijn commando zo brengen dat ieder wel denkend mens hem niet uitvoert.. hoop dat ik daar in ben geslaagd.
Goedemorgen..
Ik denk nog laat ik mijn commando zo brengen dat ieder wel denkend mens hem niet uitvoert.. hoop dat ik daar in ben geslaagd.
Het voordeel met rm -rf /* is dat die dan niet meer gehackt worden :)
Het voordeel met rm -rf /* is dat die dan niet meer gehackt worden :)
Wordt dan inderdaad niet meer gehackt maar zelf heb je er ook weinig aan dan ^^
Tsja DutchTSE, je hebt nog altijd niet-denkende mensen ;)
Ik heb verder nog niks gedaan, pcextreme gaat verder naar kijken, op moment dat de server weer wordt herstart, zal ik verder aan werken om mijn server zo goed mogelijk te beveiligen als ik het zelf niet uit kan, zal ik iemand betalen die dat voor mij kan doen, gelijk dat iemand hier boven had gezegd, alles wat die persoon doet die je voor betaald, laten schrijven zodat je zelf van leert.
Dank u iedereen
Ik ben er weer,
De server is herstart door pcextreme en werkt prima!
Het is inderdaad een aanval daarom heb ik problemen met mijn server.
Nu wil ik mijn server beveiligen (van fouten leert men), welke firewall stellen jullie voor om te installeren?
Wat denken jullie van CSF/LFD (configserver firewall)?
Bedankt iedereen voor jullie inzet
CSF/LFD is een goede keus.
Maar weet je wel zeker dat je het zelf wilt doen?
Als je zelf gaat sleutelen aan je firewall dan is 1 verkeerde klik al genoeg om alle toegang tot je server te blokeren.
CSF/LFD is een goede keus.
Maar weet je wel zeker dat je het zelf wilt doen?
Als je zelf gaat sleutelen aan je firewall dan is 1 verkeerde klik al genoeg om alle toegang tot je server te blokeren.
Ik wil graag dat mij iemand helpt om weer geen zelfde fout te maken dat mijn server offline staat, maar jah ik weet niet of ik het hier kan vragen of iemand mij kan helpen...
Er zal heus wel iemand zijn die je wil helpen..
Het is niet alleen een simpele installatie, je zal meer moeten doen.
Een firewall is toch 1 van de belangrijkste dingen die bij een server horen.
Met CSF zou je eens kunnen testen, vergeet dan niet de testmode aan te zetten.
Als je niet weet hoe je de testmode aan kunt zetten dan raad ik je sterk af om er zelf mee verder te gaan.
Er zal heus wel iemand zijn die je wil helpen..
Het is niet alleen een simpele installatie, je zal meer moeten doen.
Een firewall is toch 1 van de belangrijkste dingen die bij een server horen.
Met CSF zou je eens kunnen testen, vergeet dan niet de testmode aan te zetten.
Als je niet weet hoe je de testmode aan kunt zetten dan raad ik je sterk af om er zelf mee verder te gaan.
Oké dank u, ik wacht hopelijk kan mij iemand helpen want ik zie het al terug gebeuren straks dat de server weer aangevallen wordt.
Neen inderdaad, ik weet niet hoe ik testmode moet aanzetten.
:lovewht::lovewht::lovewht:
Als je de root gegevens wilt afstaan dan mail me maar, ik kan wel even kijken dan.
standaard instelling van CSF/LFD is volgens mij testmodus aan ;)
mocht je dus je instellingen toepassen vergeet het dan niet uit te zetten.
De testmodus flusht alle rgels elke 15 minuten zodat je nooit langer dna 15min uitgesloten wordt. Wat ook een tip is, zet je eigen beheer ip in de whitelist van CSF/LFD zodat jij in ieder geval altijd toegang hebt.
MMai dat klopt normaal staat de testmode standaard aan op 5 minuten.
Voor de zekerheid moet je altijd wel eerst controleren of die daadwerkelijk aanstaat.
Als je de root gegevens wilt afstaan dan mail me maar, ik kan wel even kijken dan.
Er werd hier boven gezegd dat je normaal de mensen hier kan vertrouwen, ik wil dat doen, ik wil ZEER GRAAG geholpen worden maar dan wil ik ook eerlijk geholpen worden, dat er geen misbruik wordt gemaakt.
Ik zal jou de gegevens door sturen naar je pm omdat je zo gewoonlijk vraagt dus ik denk wel zeker dat je zeker geen misbruik gaat maken.
Het is aan jezelf, je kan mij vertrouwen.
Je denk toch niet dat ik mijn naam/bedrijf te schande zet hier door misbruik.
Het is aan jezelf, je kan mij vertrouwen.
Je denk toch niet dat ik mijn naam/bedrijf te schande zet hier door misbruik.
Het is verzonden.
Hartelijk dank dat je dit wilt doen.
Work = Done :)
Even een vraagje nog aan iedereen, ik heb nooit met Debian gewerkt.
Hij staat in runlevel 2, runlevel 3 lijkt me toch normaal? linux=linux
Debian 5.0.1
server7:~# runlevel
N 2
Centos
[root@server1 ~]# /sbin/runlevel
N 3
dreamhost_nl
14/07/09, 09:24
Exact. Linux=Linux gaat zeker niet op als je CentOS vergelijkt met Debian.
Dit had ik zelf op kunnen zoeken maar het was al laat gisteren, en dit viel me gewoon op.
Zo leer ik ook ook weer wat.
En wat was het euvel ?
Op die server is gewoon debian gezet en draaien maar.
Er was totaal niets aan de beveiliging gedaan.
CSF/LFD draait nu en dit houd al veel narigheid tegen.
Over de rest kan ik geen mededeling doen aan derden.
De log files zien er nu goed uit, ik zag geen rare dingen meer.
We horen het wel van de topic starter of er nog verdere problemen zijn.
Er waren toch nog problemen, ik meld ze maar even hier.
Poort 80 is na enkele uren dicht gaan zitten op die server.
In de messages.log staat:
Jul 15 12:30:28 dediXXX kernel: ip_conntrack: table full, dropping packet.
Jul 15 12:30:33 dediXXX kernel: printk: 9 messages suppressed.
Jul 15 12:30:33 dediXXX kernel: ip_conntrack: table full, dropping packet.
De ip_conntrack table staat vol, ik heb hem al verhoogd naar 65496 maar dat hielp niet.
In de httpd logfile staat:
::1 - - [15/Jul/2009:12:34:37 +0200] "GET / HTTP/1.0" 302 350 "-" "Apache/2.2.3
(Debian) PHP/5.2.0-8+etch13 (internal dummy connection)"
Verder is er geen ddos of wat ook aan de gang, al het andere draaid als een trein.
De firewall (CSF) is ook goed, poort 80 staat wel degelijk open.
Reboot helpt ook niet..
Ik zat eerst te denken aan antiloris hack, deze mod heb ik ook geinstalleerd maar dat was het ook niet.
Verder heb ik deze outputs nog:
wc -l /proc/net/ip_conntrack
63325 /proc/net/ip_conntrack
en deze:
dediXXX:/var/log/apache2# sysctl -a | grep conntrack
error: "Success" reading key "dev.parport.parport0.autoprobe3"
error: "Success" reading key "dev.parport.parport0.autoprobe2"
error: "Success" reading key "dev.parport.parport0.autoprobe1"
error: "Success" reading key "dev.parport.parport0.autoprobe0"
error: "Success" reading key "dev.parport.parport0.autoprobe"
error: "Operation not permitted" reading key "net.ipv6.route.flush"
net.ipv4.ip_conntrack_max = 65536
net.ipv4.netfilter.ip_conntrack_tcp_max_retrans = 3
net.ipv4.netfilter.ip_conntrack_tcp_be_liberal = 0
net.ipv4.netfilter.ip_conntrack_tcp_loose = 3
net.ipv4.netfilter.ip_conntrack_tcp_timeout_max_re trans = 300
net.ipv4.netfilter.ip_conntrack_log_invalid = 0
net.ipv4.netfilter.ip_conntrack_generic_timeout = 600
net.ipv4.netfilter.ip_conntrack_icmp_timeout = 30
net.ipv4.netfilter.ip_conntrack_udp_timeout_stream = 180
net.ipv4.netfilter.ip_conntrack_udp_timeout = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close = 10
net.ipv4.netfilter.ip_conntrack_tcp_timeout_time_w ait = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_last_a ck = 30
net.ipv4.netfilter.ip_conntrack_tcp_timeout_close_ wait = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_fin_wa it = 120
net.ipv4.netfilter.ip_conntrack_tcp_timeout_establ ished = 432000
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_re cv = 60
net.ipv4.netfilter.ip_conntrack_tcp_timeout_syn_se nt = 120
Wat kan dat zijn?
Ik dank Herbet voor zijn hulp, inderdaad het is gelijk dat Herbet zegt, ik kan geen verbinding krijgen tot de server via http://ip maar wel via WinSCP.
Bedankt Herbert en de andere!
Zoals je ziet is de ip_conntrack module geladen en raken zijn maximale connecties vol, hierdoor werkt poort 80 niet meer.
Je zou met netstat eens kunnen kijken hoe veel connecties er open staan, maar het kan goed dat dit allemaal legitieme connecties zijn.
Een firewall is niet per definitie nodig als alle services goed geconfigureerd zijn, als de machine simpel httpd, ssh, pop3, imap en smtp draait is een firewall niet direct nodig.
Zolang je MySQL dan maar laat binden aan 127.0.0.1 werkt het prima.
Wido ook zonder firewall doet die vreemd, dit had ik al getest.
Nadat ik de hele topic nog een keer gelezen heb bestond dit probleem al langer.
firewall of geen firewall dat maakt niet uit.
Zonder iets te hebben veranderd draait poort 80 nu weer, ook vreemd..
Wat staat er in de httpd error/access log en wat is de output van netstat -a | grep http ?
Heeft die doos overigens ook een hoge load/ dataverbruik ?
netstat -a | grep http of netstat -a | grep apache2 geeft niets aan output.
De http error log staat nu vol met:
[Wed Jul 15 14:19:32 2009] [warn] Rejected, too many connections in READ state from 190.73.xxx.xxx
De load is:
CPU load gemiddelde: 0.12 (1 min) , 0.07 (5 min) , 0.01 (15 min)
Dus heel netjes..
Ik krijg met: netstat -an | grep :80
ruim 1600 regels met:
tcp6 0 0 ::ffff:89.18.189.xxx:80 ::ffff:200.60.195.:1398 TIME_WAIT
tcp6 0 0 ::ffff:89.18.189.xxx:80 ::ffff:190.73.55.2:3448 FIN_WAIT2
tcp6 0 1 ::ffff:89.18.189.xxx:80 ::ffff:189.156.116:1121 LAST_ACK
tcp6 0 0 ::ffff:89.18.189.xxx:80 ::ffff:200.60.195.:1399 TIME_WAIT
tcp6 0 0 ::ffff:89.18.189.xxx8:80 ::ffff:190.73.55.2:2937 TIME_WAIT
tcp6 0 0 ::ffff:89.18.189.xxx:80 ::ffff:190.205.31.:1203 TIME_WAIT
tcp6 0 0 ::ffff:89.18.189.xxx:80 ::ffff:190.205.31.:4787 TIME_WAIT
Ik heb even een print screen gemaakt van de statistiek wat er gebeurd als de server wordt geblokkeerd of beter gezegd als de chatters niet in de chat kunnen inloggen.
http://i28.tinypic.com/28iw1ts.jpg
Bedankt iedereen
Tuli
Als er 1600 connecties zijn, dan is het gewoon te druk. Al eens gekeken naar de server-status van Apache?
netstat -a | grep http of netstat -a | grep apache2 geeft niets aan output.
De http error log staat nu vol met:
[Wed Jul 15 14:19:32 2009] [warn] Rejected, too many connections in READ state from 190.73.xxx.xxx
De load is:
CPU load gemiddelde: 0.12 (1 min) , 0.07 (5 min) , 0.01 (15 min)
Dus heel netjes..
Ik krijg met: netstat -an | grep :80
ruim 1600 regels met:
tcp6 0 0 ::ffff:89.18.189.xxx:80 ::ffff:200.60.195.:1398 TIME_WAIT
tcp6 0 0 ::ffff:89.18.189.xxx:80 ::ffff:190.73.55.2:3448 FIN_WAIT2
tcp6 0 1 ::ffff:89.18.189.xxx:80 ::ffff:189.156.116:1121 LAST_ACK
tcp6 0 0 ::ffff:89.18.189.xxx:80 ::ffff:200.60.195.:1399 TIME_WAIT
tcp6 0 0 ::ffff:89.18.189.xxx8:80 ::ffff:190.73.55.2:2937 TIME_WAIT
tcp6 0 0 ::ffff:89.18.189.xxx:80 ::ffff:190.205.31.:1203 TIME_WAIT
tcp6 0 0 ::ffff:89.18.189.xxx:80 ::ffff:190.205.31.:4787 TIME_WAIT
Hmz, netstat geeft normaal x.x.x.x.http(of ander protocol) weer.
Je weet 100% zeker dat alle chatters uit Nederland afkomstig zijn?
Mocht dat zo zijn, dan zou ik alleen nog maar *.nl toelaten en de rest gewoon in je firewall blacklisten (is vies :r maar werkt effectief)
Aangezien bovenstaande IP adressen uit Venuzuela/Peru (LACNIC) afkomstig zijn.
Kun je je httpd.conf ergens (pastie.org) online dumpen ?
Hij heeft -an gebruikt, door -n resolved hij niet.
Als je alleen .nl wil gaan toestaan moet je dus iedere keer een DNS lookup doen (kan dat überhaupt met iptables?) en dan blokkeer je dus ook gelijk mensen met een NL IP die .com gebruiken.
Het is gewoon te druk, 1600 connecties naar poort 80 geeft gewoon aan dat er veel verkeer naar de machine komt wat niet kan worden afgewerkt.
Hij heeft -an gebruikt, door -n resolved hij niet.
Als je alleen .nl wil gaan toestaan moet je dus iedere keer een DNS lookup doen (kan dat überhaupt met iptables?) en dan blokkeer je dus ook gelijk mensen met een NL IP die .com gebruiken.
Het is gewoon te druk, 1600 connecties naar poort 80 geeft gewoon aan dat er veel verkeer naar de machine komt wat niet kan worden afgewerkt.
Dank u wel voor jou antwoord.
Maar in het begin dat ik de chat had geopend waren ook ongeveer zoveel chaters en het heeft 2 maanden probleemloos gewerkt.
Ik denk mss is er een fout gemaakt en dat nu blijft hangen (denk ik).
Wat is de oplossing om toch de chat probleemloos doen werken?
Bedankt
Hmz, netstat geeft normaal x.x.x.x.http(of ander protocol) weer.
Je weet 100% zeker dat alle chatters uit Nederland afkomstig zijn?
Mocht dat zo zijn, dan zou ik alleen nog maar *.nl toelaten en de rest gewoon in je firewall blacklisten (is vies :r maar werkt effectief)
Aangezien bovenstaande IP adressen uit Venuzuela/Peru (LACNIC) afkomstig zijn.
Kun je je httpd.conf ergens (pastie.org) online dumpen ?
Probleem is dat de chatters van de hele wereld zijn.
Er komt ontzettend veel verkeer binnen uit Mexico/Venuzuela
Ik kan wel deze twee landen in de firewall gooien voor hem, dat lost al een hoop problemen op.
Net een check gedaan, 1128 connecties op poort 80
Tuli wat ik in de logs zie dat er alleen maar hack pogingen komen uit Mexico en Venuzuela
Ik ga zo weer even kijken, ben nog even bezig met een klant hier..
Er komt ontzettend veel verkeer binnen uit Mexico/Venuzuela
Ik kan wel deze twee landen in de firewall gooien voor hem, dat lost al een hoop problemen op.
Net een check gedaan, 1128 connecties op poort 80
Tuli wat ik in de logs zie dat er alleen maar hack pogingen komen uit Mexico en Venuzuela
Ik ga zo weer even kijken, ben nog even bezig met een klant hier..
Herbert, je mag Mexico en Venuzuela blokkeeren, van daar komen er bijna geen chatters, dus je mag dat zeker blokkeren, het is te hopen dat iets oplost, want ik weet niet wat te doen.
Bedankt
Ik heb in CSF de synflood detectie aangezet, dit schijnt te helpen nu.
SYNFLOOD_RATE = 100/S
SYNFLOOD_BURST = 150
Jul 15 21:36:49 dediXXX kernel: Firewall: *SYNFLOOD Blocked* IN=eth0 OUT= MAC=00:30:48:d7:12:24:00:12:f2:33:2b:00:08:00 SRC=190.164.141.141 DST=89.18.189.188 LEN=48 TOS=0x00 PREC=0x00 TTL=122 ID=62327 DF PROTO=TCP SPT=1217 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
Jul 15 21:36:51 dediXXX kernel: Firewall: *SYNFLOOD Blocked* IN=eth0 OUT= MAC=00:30:48:d7:12:24:00:12:f2:33:2b:00:08:00 SRC=189.71.56.147 DST=89.18.189.188 LEN=48 TOS=0x00 PREC=0x00 TTL=118 ID=42179 DF PROTO=TCP SPT=31841 DPT=80 WINDOW=16384 RES=0x00 SYN URGP=0
Jul 15 21:36:53 dediXXX kernel: Firewall: *SYNFLOOD Blocked* IN=eth0 OUT= MAC=00:30:48:d7:12:24:00:12:f2:33:2b:00:08:00 SRC=190.72.127.126 DST=89.18.189.188 LEN=48 TOS=0x00 PREC=0x00 TTL=117 ID=27498 DF PROTO=TCP SPT=1606 DPT=80 WINDOW=65535 RES=0x00 SYN URGP=0
volgens het overzicht in CSF moet in v4 de volgende functie zitten:
# New in v4: Country Code blocking - Allows you to deny or allow access by ISO Country Code
ISO codes voor Venezuela en Mexico zijn:
Country A 2 A 3 Number
MEXICO MX MEX 484
VENEZUELA VE VEN 862
Ik had al VE,MEX ingegeven.
Dit werkte niet, ik moest nog wat perl modules instaleren.. nu werkt dat ook.
Go Herbert, go herbert :D
:lovewht:
Go Herbert, go herbert :D
:lovewht:
Ik reageer een beetje laat, maar hij heeft mij tot nu toe zeer goed geholpen!!
:lovewht::lovewht::lovewht:
Fijn om te horen :)
Als ik ergens aan begin dan maak ik het ook af..
En ook erg leerzaam voor anderen die het ook niet zo goed weten maar het niet toe willen geven :whistling:
Alles wat je zelf kunt is toch mooi meegenomen he.