70 GB Error Logs pro Tag - mod_fcgid: stderr / Broken pipe: mod_fcgid / Apache Fehler

  • Guten Tag,


    ich brauche eure Hilfe. Versuche schon seit Monaten einem Problem nachzugehen, welches seit ich meine Webseite auf Netcup umgezogen habe, besteht.

    Der Kundensupport von Netcup kann mir hier auf Nachfrage leider nicht weiterhelfen.

    Habe auch schon ewig lange das Internet nach den vorkommenden Fehlermeldungen durchforstet und alles Mögliche ausprobiert, aber keine Problemlösung hat geholfen.


    Problembeschreibung:


    - Es werden pro Tag (wahrscheinlich sogar in ein paar Stunden)! ~ 70 GB Errorlogs generiert bis der Webspace voll ist. Dann wird die Seite extrem langsam. Allgemein ist die Seite oft direkt sehr langsam, zu Zeiten wo mehr Besucher kommen (Besucheranzahl ist aber in einer Größenordnung wo es selbst bei meinem Tarif gar keine Probleme geben sollte).

    - Inzwischen werden die Errorlogs automatisch gezippt und enthalten eine 70 GB große Datei, die ich mit keinem Editor öffnen kann. Aus früheren kleineren Logs kann ich aber mal aufführen welche Fehlermeldungen dies sind.


    [Sat Sep 18 02:33:19.179823 2021] [fcgid:warn] [pid 3722] [client x.x.x.x:36802] mod_fcgid: stderr: Connection refused (Mehrere 100x pro Minute)

    Der Port und die IP sind immer unterschiedlich.

    Die Meldung tritt gleichzeitig mit allen möglichen Seiten auf, darunter auch häufig Cronjobs.

    [Sat Sep 18 13:32:05.928004 2021] [fcgid:warn] [pid 11699] [client x.x.x.x:32820] mod_fcgid: stderr: Connection refused, referer: /wp-cron.php?doing_wp_cron=........


    Die Seiten, die hier im Error Log stehen sind Blog Posts, Seiten, Kategorien. Teilweise auch schon gelöschte.


    Zusätzlich tritt ab und zu dieser Fehler auf:

    [Sat Sep 18 13:32:05.263844 2021] [authz_core:error] [pid 11696] [client x.x.x.x:60584] AH01630: client denied by server configuration: /var/www/vhosts/hosting123.netcup.net/webseitenname/xmlrpc.php



    Bei Protokollen in Plesk sehe ich sehr häufig solche Fehler:

    Error x.x.x.x 404 GET /alfa.php HTTP/1.0 anonymousfox.co Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 25.1 K SSL/TLS-Zugriff für Apache

    2022-01-30 15:30:25 Error x.x.x.x 404 GET /wp-booking.php HTTP/1.0 anonymousfox.co Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 25.1 K SSL/TLS-Zugriff für Apache

    2022-01-30 15:30:39 Error x.x.x.x 404 GET /wp-content/wp-1ogin_bak.php HTTP/1.0 anonymousfox.co Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.85 Safari/537.36 25.6 K SSL/TLS-Zugriff für Apache


    Und fast sekündlich folgende Warnungen:

    (32)Broken pipe: mod_fcgid: ap_pass_brigade failed in handle_request_ipc function, referer: irgendeineWebseitenURL

    mod_fcgid: stderr: PHP Warning: Attempt to read property "post_type" on null in /var/www/vhosts/hosting123.netcup.net/httpdocs/webseite/wp-includes/class-wp-query.php on line 4273




    Daten zur Webseite/Hosting:

    - Webhosting 2000 Tarif

    - PHP 8.1 (wurde die ganze Zeit mit 7.4 betrieben, zeitweise mit 8.0 und jetzt vor paar Wochen auf 8.1 umgestellt mit der Hoffnung, dass die Fehler weggehen).

    - Wordpress Blog aktuelle Version mit Plugins WProcket, AAWP, RankMath SEO, NinjaTables, Elementor, Jet Plugins, Antispam Bee, EWWW Image Optimizer


    Zeitweise wurden auch mal alle Plugins oder manche Plugins zum Test deaktiviert, aber konnte hier noch keine Zusammenhänge finden, ob speziell ein Plugin die Fehler verursacht.

    Die Fehler sind auch ohne Plugins aufgetreten, wenn ich mich einfach quer durch meine Webseite geklickt habe.



    Falls noch weitere Informationen benötigt werden, ergänze ich sie gerne.


    Danke euch schonmal für euer Bemühen.

  • Danke für die schnelle Antwort. Das Problem in dem Beitrag scheint ja tatsächlich in die gleiche Richtung zu gehen.

    Nur wie kann ich das beheben? FcgidOutputBufferSize kann ich nicht ändern bei meinem Webhosting Tarif oder?


    In der Fehlermeldung steht Client gefolgt vermutlich von der IP des Clienten, der grade eine Seite aufgerufen hat (die habe ich durch x.x.x.x. ersetzt).


    Es könnte mit FastCGI zu tun haben. Auf meinem alten Server hatte ich PHP-FPM. Kann aber egal bei welcher PHP Version nichts anderes auswählen auf Netcup. Aber kenne mich da nicht aus. Glaube sonst war auf meinem alten Server von den Einstellungen aber alles gleich wie bei Netcup.

  • Ja vorher war es die Original htaccess nur mit dem Wordpress Code Schnipsel und (falls aktiviert) halt der Teil, der von WProcket hinzugefügt wurde.

    Spam/Flooding wird aber definitiv auch ein Thema sein. Merke es gerade wieder direkt, dass mit der oben genannten htaccess die Ladegeschwindigkeiten auf meiner Seite deutlich zugenommen haben. Mag sein, dass die Fehlermeldungen auch etwas weniger geworden sind, aber tauchen auf jeden Fall noch oft genug auf.

  • Ja wprocket ist mein Cache Plugin. Habe ich aber auch erst seit ein paar Wochen. Am Anfang keins gehabt, dann w3 total cache und dann eben wprocket.

    Daher vermute ich hier nicht die Fehlerquelle. Hatte ich auch schon einige Tage deaktiviert gehabt.

    Ich werde aber nochmal alle Plugins durchgehen. Sind ja nicht selten Ursache aller Probleme bei Wordpress ;)


    Falls noch jemand Ideen hat, bin ich sehr dankbar.

  • Also habe die letzten 2 Wochen mal rumprobiert aber bin leider noch auf keinen grünen Nenner gekommen.

    Zwischenzeitlich war für knapp 1 Woche tatsächlich mal Ruhe, aber dann hat dieses Fehler-gespamme wieder angefangen, ohne dass ich irgendetwas geändert habe. Ich hatte step by step mal alle Plugins deaktiviert, aber irgendwie konnte ich nichts genau als Problemverursacher herausdeuten.


    Besonders diese Fehlermeldung ist momentan ziemlich penetrant:


    Code
    403    POST /xmlrpc.php HTTP/1.0
    AH01797: client denied by server configuration: /var/www/vhosts/hosting123.netcup.net/httpdocs/xmlrpc.php


    Gleichzeitig wirft auch mein Theme Monstroid2 mit den Jetplugins bei Updateprüfung kritische Fehlermeldungen aus. Passiert aber nur bei dieser Seite und habe das Theme mit den ganzen Plugins insgesamt auf 3 Webseiten im Einsatz. Das sieht für mich irgendwie nach einem Berechtigungsproblem aus.


    Code
    500 GET /wp-admin/admin.php?jet_action=theme&handle=check_updates HTTP/1.0
    
    mod_fcgid: stderr: PHP Fatal error: Uncaught Error: Attempt to modify property "response" on null in /var/www/vhosts/hosting123.netcup.net/httpdocs/wp-content/plugins/jet-theme-core/includes/settings/manager.php:761, referer: /wp-admin/admin.php?page=jet-theme-core&tab=theme
    
    mod_fcgid: stderr: Stack trace:, referer:
    
    mod_fcgid: stderr: #0 /var/www/vhosts/hosting123.netcup.net/httpdocs/wp-includes/class-wp-hook.php(309): Jet_Theme_Core\\Settings->check_theme_update(NULL),


    Anmerkung: Ich habe in Plesk beim Wordpress Toolkit die ganzen „Sicherheitseinstellungen“ aktiviert. Bis auf "Zugriff auf Dateien und Verzeichnisse einschränken", das deaktiviert sich von alleine immer wieder. Habe das Testweise aber auch alles mal wieder rückgängig gemacht bei meinen Tests die letzten Wochen. Kann dich 100% sagen ob hier vielleicht eine Einstellung schuld dran ist. Verwende aber eigentlich auf all meinen drei Webseiten die gleichen Einstellungen und mit den anderen habe ich keine Probleme.

  • Ja sind immer verschiedene IPs aber hab mal ein paar aufgerufen und da kommt meistens die gleiche Fehlerseite mit Link zu cPanel und Whois Info zeigt GoDaddy an. Hier mal ein Auszug:


    50.62.141.188

    160.153.216.29

    103.50.76.37

    184.168.119.128

    64.225.69.194

    ....



    Bei allen IPs wird auch der gleiche UserAgent angezeigt (Mozilla/5.0 (X11; Ubuntu;Linux x86_64; rv:62.0) Gecko/20100101 Firefox 62.0)

  • Ich habe bereits in der .htaccess

    Code
    <Files xmlrpc.php>
    Order Allow,Deny
    Deny from all
    </Files>

    hinzugefügt und in der functions.php meines themes

    Code
    add_filter( 'xmlrpc_enabled', '__return_false' );


    Mehr kann ich nicht machen, oder? Vielleicht wird der Fehler auch gerade deswegen ausgegeben, weil die Zugriffe nicht erfolgreich sind.

  • Mehr kannst du nicht machen. Beim SelfHosted Wordpress unterdrücke ich anschließend diese Zeilen im Log. Dann tauchen die da nicht mehr auf (natürlich sichere ich mich vorher ab).

    Wie groß ist das Logaufkommen denn derzeit? Wenn wirklich 70GB Pro Tag an Errorlogs anfallen, will dich jemand ärgern und versucht gezielt das zu provozieren oder du bist so Interessant das es sich lohnt.

  • Es sind 70 GB Logs pro Tag, weil mehr mein Webspace nicht hat und dann irgendwann der Schacht dicht ist :)

    Habe irgendwann mal eingestellt, dass die Logs gezippt werden. Die error_log.gz ist dann nur noch 700 MB groß.

    Trotzdem merkt man die Serverlast durch die ganzen Fehler. Besonders sammeln sich die Logs erst mal an und sobald der Webspace voll ist,

    geht die Ladezeit in den Keller. Weiß nicht, wann die Logs dann gezippt werden.


    Anderes Problem sind natürlich weiterhin die im ersten Beitrag aufgeführten mod_fcgid: stderr: Fehlermeldungen.


    Ich würde mal sagen, dass ich nicht so interessant bin und habe auch keine Seite, die manchen gegen den Strich gehen könnte (wie politische Seiten o.ä.).

    Leider steht bei allen Fehlermeldungen auch nie irgendwas dabei, mit dem ich was anfangen könnte. z.B. dass man halt genau sehen kann, dass ein Plugin Schuld ist.