Problem mit Apache

    Hallo Leute,

    ich unterstütze einen Freund bei der Administration eines LAMP-Servers und seit Heute Nachmittag tritt ein merkwürdiges Problem auf, das den Server lahmlegt: Der Apache-httpd forkt (so sieht es aus) endlos neue Prozesse, bis der gesamte Speicher voll ist. Die Ausgabe von ps aux zeigt mehr als hundert Zeilen, die so aussehen:

    Code
    wwwrun  (...)  /usr/sbin/httpd2-prefork -f /etc/apache2/httpd.conf -DSSL

    Wird der Rechner gerebootet, dann geht das ganze unmittelbar von vorne los. Mir ist sowas noch nie begegnet und ich habe auch nirgendwo einen Hinweis gefunden, was dieses Phänomen auslösen könnte. Eine DoS-Attacke? :?:

    Kann mir jemand irgendwelche Tipps oder Lösungsratschläge geben? Bin für jeden sachdienlichen Hinweis dankbar!

    Hier die Versionen auf dem Server:
    Linux version 2.4.20-021stab022.5.777-enterprise (st@current.eng.sw.ru) (gcc version 2.96 20000731 (Red Hat Linux 7.3 2.96-110)) #1 SMP Fri Sep 3 12:45:02 MSD 2004
    Apache 2 (keine Ahnung, welche Version genau)
    MySql 12.21 Distrib 4.0.15, for suse-linux (i686)
    PHP 4.3.6

    Vielen Dank im voraus,
    Piano

    Habt Ihr den Server im direkten Zugriff oder steht der als Remote irgendwo rum? Eine DoS-Attacke ist es sicher nicht, ich vermute eine Fehlkonfiguration des Apache, eines Scripts oder ähnliches.
    Für die Fehlerbehebung wäre es wichtig zu wissen, welche Zugriffsmöglichkeiten Ihr habt.
    Verwaltet Ihr den Server nur über die Shell remote mit YAST, Webmin & Co. oder sitzt Ihr direkt davor?

    Hallo Webbie,

    erst mal vielen Dank für Deine schnelle Reaktion. Wir haben nur Remote-Zugriff auf den Server, d.h. die Administrationstools (YaST, Confixx, ...) stehen uns per ssh und Web zur Verfügung.

    Gruß,
    Piano

    Ok, dann würde ich als Erstes ein Tool zur Verwaltung installieren, um nicht ständig auf der Shell rumzukrebsen, z.B. Webmin oder Midnight Commander als Dateimanager. Ich bevorzuge Webmin :)
    Den Apache natürlich vorerst deaktivieren, sonst wird's ja nix mit der Installation. Dann würd ich mir mit dem Dateimanager von Webmin mal die Verzeichnisse des Apache anschauen und auf das Änderungsdatum der Konfigurations-Dateien achten. Vielleicht fällt da schon was auf. wwwrun/www würde ich erstmal deaktivieren und Apache starten. Dann das Log anschauen... hm, also Schritt für Schritt vortasten...
    Ist das ein produktiver Server? Wäre natürlich extrem übel, wie schaut es denn generell mit Datensicherung aus bei Euch? Konfiguration des Apache pauschal zurücksichern zum Beispiel? Welche Änderungen habt ihr in der letzten Zeit vorgenommen?
    Übrigens: Wenn Ihr einen Rootserver habt, dann kann man generell davon ausgehen, dass DoS-Attacken sowieso nicht in Frage kommen. Die meisten Hoster schalten automatisch den Server vom Netz, wenn übermäßiger Traffic entsteht. Das merkste, denn dann kommst Du nicht mehr ran.

    Zunächst mal scheint sich das Problem vor kurzem, nach dem xten Reboot in Wohlgefallen aufgelöst zu haben, obwohl ich dem Frieden nicht ganz traue.

    Zitat von webbie

    Ok, dann würde ich als Erstes ein Tool zur Verwaltung installieren, um nicht ständig auf der Shell rumzukrebsen, z.B. Webmin oder Midnight Commander als Dateimanager. Ich bevorzuge Webmin :)

    Webmin kannte ich noch nicht -- werde ich auf jeden Fall ausprobieren.

    Zitat von webbie

    Den Apache natürlich vorerst deaktivieren, sonst wird's ja nix mit der Installation. Dann würd ich mir mit dem Dateimanager von Webmin mal die Verzeichnisse des Apache anschauen und auf das Änderungsdatum der Konfigurations-Dateien achten. Vielleicht fällt da schon was auf. wwwrun/www würde ich erstmal deaktivieren und Apache starten. Dann das Log anschauen... hm, also Schritt für Schritt vortasten...

    Okay...leider handelt es sich dabei um ein produktives System. Andererseits ist das eh egal, wenn der Server unbrauchbar ist. Ich kenne mich nun mit Apache-Administration nicht besonders aus (arbeite meist mit Confixx und myPhpAdmin), aber falls der Server nochmal auskreist, werde ich auf diese Art und Weise schauen, ob ich was zutage fördern kann.

    Zitat von PianoForte

    Zunächst mal scheint sich das Problem vor kurzem, nach dem xten Reboot in Wohlgefallen aufgelöst zu haben, obwohl ich dem Frieden nicht ganz traue.

    Auch wenn es nicht befriedigt, aber der Druck ist erstmal weg.
    Dann heisst es jetzt die Logs auswerten!

    Zitat

    Webmin kannte ich noch nicht -- werde ich auf jeden Fall ausprobieren.

    Vorsicht! Webmin und Confixx sind sich spinnefeind!
    Man kann sehr gut mit Webmin arbeiten, wenn man daran denkt, dass Confixx fast die ganze Apachekonfiguration in die Hand nimmt und für sich hinbiegt. Auf jeden Fall bei Webmin die Protokollierung einschalten, damit wenn mal was mit Confixx kollidiert die Ursache feststellbar ist.
    Übrigens empfehle ich unbedingt Confixx in der Version 3.04, nötigenfalls updaten.

    Zitat

    Okay...leider handelt es sich dabei um ein produktives System. Andererseits ist das eh egal, wenn der Server unbrauchbar ist. Ich kenne mich nun mit Apache-Administration nicht besonders aus (arbeite meist mit Confixx und myPhpAdmin), aber falls der Server nochmal auskreist, werde ich auf diese Art und Weise schauen, ob ich was zutage fördern kann.


    Nicht erst warten bis es soweit ist. Apache mind. auf 2.0.49 bringen bzw. via YAST die Installation komplett updaten. Mindestens die aktuellen Patches einspielen und für ein regelmäßiges Backup sorgen.
    Und dann versuchen den Grund für das Theater festzustellen.
    Dabei wünsche ich euch viel Erfolg!
    Gruß zum 4. Advent,
    webbie