Re: hoher Load

To: debian-user-german@lists.debian.org
Subject: Re: hoher Load
From: klaus zerwes <kzerwes@web.de>
Date: Tue, 30 Sep 2008 10:10:43 +0200
Message-id: <48e1df03$0$6621$9b4e6d93@newsspool3.arcor-online.net>
In-reply-to: <bhH3S-5e-1@gated-at.bofh.it>
References: <48E0BE34.1070201@maennchen1.de> <48E0DFCA.80400@versanet.de> <48E1C747.9070607@maennchen1.de>

Roger Rehnelt schrieb:
> Hi!
>>>
>> eine Load von 5 ist noch lange kein Todesurteil für einen Server.
> Für die Kiste wohl schon. Weil wenn er er mal so hässlich am rechnen
> ist, dann ist es fast unmöglich sich per ssh zu connecten (zwischen 30
> und 60min Loginversuche). Und hat man es dann mal geschafft, will man
> nur noch die Mühle beruhigen :)

Du hast die Frage von David nicht (ganz) beantwortet.
Ein Load von 5 mag die Mühle zwar etwas träger machen, aber dass "goar
nix mehr gehen tut" ist schon verwunderlich ...

Läuft auf dem Server irgendwas mit iptables und conntrack?
Ist ein beliebtes und probates Mttel sich durchs linke Knie ins rechte
Auge zu ballern wenn es nicht richtig konfiguriert ist.
Man kann sich damit schützen oder auch neue Türen und Tore öffnen.
Und wenn die iptables - Regeln dich als Admin ausschliessen könnte es zu
den beschriebenen Login- ewigwarten - phänomenen kommen. Muss nicht
sein, aber sollte man vorher ausschliessen.
Allgemein solltest du mal ein Auge auf den Netzwer-Traffik werfen
Distributed SYN flood DOS Angriffe sind manchmal nicht auf den ersten
Blick zu erkennen.

parallel die apache-Prozesse mal genauer untersuchen. wird eine
bestimmte URL aufgerufen kurz bevor der Load steigt? typo3 ist ein
kleines Monster...

>> kann es sein, dass jemand einen DoS Angriff auf Deinen Server macht?
>> Was sagen die Apache Logs (access.log / error.log)?
>> Scheinbar scheints am Apache zu liegen, wenn es sich beruhigt wenn Du
>> ihn beendest / neustartest.
>> Check doch auch mal die Prozessliste des Systems - wenn der Rechner
>> wieder ein Problem hat.
> In den Logfile kann ich nichts auffäliges finden. Normales surfen und
> normale Zugriffe der Suchmaschinen. Kein außergewöhnliches hohes Aufkommen.
> Das einzige was mir komisch erscheint, sind die zeitlichen Einträge in
> den Logfiles. Jeder Zugriff wird ja hintereinander weg an das Logfile
> geschrieben. Dann ist das schon ein wenig merkwürdig, wenn nach 08:41
> Uhr 03:00 Uhr, 03:11 Uhr und dann wieder 08:52 Uhr und 08:26 Uhr kommt.
> Könnten dass evtl. die Startzeiten der Anfragen sein, die zwar um 3.00
> Uhr angestoßen aber erst kurz vor neun ausgeführt und somit ins Logfile
> geschrieben worden?

Hui - benutzt du u.U. BufferedLogs?
Das LogFormat von apache kann man gut anpassen. Es gibt da einige
Optionen die IMHO die zeit die für die Verarbeitung des Requests
benötigt wird loggen. gegebenenfals LogFormat anpassen um mehr Infos zu
kriegen.

> (Der letzte "Hänger" wurde gegen 9:30 Uhr festegestellt.)
> 
> Gruß
> Roger.


Viel Glück bei der Suche
Klaus


-- 
Klaus Zerwes
http://www.zero-sys.net

Reply to:

Follow-Ups:
- Re: hoher Load
  - From: Thomas Kosch <t.kosch@schuckeduster.org>

References:
- hoher Load
  - From: Roger Rehnelt <maillists@maennchen1.de>
- Re: hoher Load
  - From: David Mika <d-mika@versanet.de>
- Re: hoher Load
  - From: Roger Rehnelt <maillists@maennchen1.de>

Prev by Date: Re: dmesg wird vollgemüllt
Next by Date: Squid mit DynDNS in acl im Internet
Previous by thread: Re: hoher Load
Next by thread: Re: hoher Load
Index(es):
- Date
- Thread