Beiträge von domibay

Hi,

schau mal hier: http://dev.mysql.com/doc/refman/5.1/de/backup-recovery.html

Gruß,
domibay

Bei mir klappte das Update auch problemlos - innerhalb von einer Stunde war der Server auf Squeeze ohne jegliche Paketprobleme.

Okay, ich hab jetzt die Prozessanzahl auf 2 gedrosselt und sofort 100MB RAM gewonnen. Kann ich jedem empfehlen, der nicht auf ein modernes FastCGI-System verzichten, aber trotzdem Resourcen sparen möchte.

Sicherheit passt, da hab ich ein suExec am laufen + chroot für den www-data.
Ab wann macht ein mod_php5 Sinn? Ich meine, da muss ja bei jedem Script wieder der PHP-Interpreter in den Mem geladen werden, was ja doch seine Zeit dauert. FastCGI hat genau eben diesen Vorteil, dass es ständig quasi als Daemon läuft. Wäre es nicht auch eine Zwischenlösung, wenn ich einfach die fastcgi-Prozesse auf 2 Stück beschränke? So einen großen Nutzeransturm muss meine Seite nun wirklich nicht bewältigen...

Servus, ich bin's mal wieder!

aktuell habe ich auf meinem vServer Bronze (200MB RAM) einen Lighttpd, PHP5(über fastcgi), einen MySQL-Server, einen Dovecot-Server und einen Postfix am laufen, um einen gut ausgestatteten Internet-Server nutzen zu können. Etwas Sorge bereitet mir nun immer der Blick auf ein

free -m

, das mir bescheinigt, dass mein RAM voll ist.

htop

schreibt das den 10 PHP-FastCGI-Prozessen zu, die jeweils 8% des Speichers versaugen (8% * 10 = 80% ...). Mir ist nämlich aufgefallen, dass FastCGI auch dann RAM saugt, wenn gerade niemand auf der Website ist, es also keine PHP-Scripte zum parsen gibt.
Nun stellt sich dabei die Frage: Ist PHP generell so speicherhungrig oder liegt das an meiner Konfiguration? Wäre ich mit mod_php5 besser dran als mit einem fastcgi-PHP?

Mit freundlichen Grüßen,
domibay

Boote mal ins Rettungssystem und schau, ob dein sshd irgendwelche Infos in die Logs schreibt... ansonsten: Backup und neu installieren.

fail2ban läuft dank VCP-Script (siehe irgendeinen Thread) sehr gut.

Und ja, ich bin Paranoid.

Noe, natuerlich hat der Server genug Kapazitaeten um die 5 Zugriffe pro Sekunde in den Griff zu bekommen. Dennoch zieht es mir Leistung ab, die ich gerne anders nutzen würde.

-- schnipp --

Ich hab jetzt fail2ban installiert, den SSH-Port umgelegt und einen honeypot platziert. Das funktioniert aktuell ganz gut, da die Anfragen meistens von einer relativ geringen Anzahl an IPs kamen.

Nunja, es hat bei mir tatsächlich DoS-Charakter, alle 0.2s oder so kommt ein fehlerhafter Login-Versuch. Das matscht mir erstens die Leitung zu, zweitens lastet es meinen Memory aus, da er für die Login-Routine ja "verbraucht" wird.

Ich werd jetzt einmal mal fail2ban für alle erreichbaren Services einbauen (SSH, FTP, IMAP, SMTP, HTTP)

Servus liebe netcup-Gemeinde,

ich bin mir nicht ganz sicher, ob ich der erste oder einzige bin, bei dem dieses unliebsame Phänomen auftritt, oder ob auch andere betroffen sind. Ich schildere mal grob den Tathergang:

Sonntag, 6 März 2011: 6:59:35 - 21:18:32 UTC: Tausende Bruteforce-Attacken im Abstand von 0.2sek auf alle öffentlich verfügbaren Dienste meines Debian-vServers bei netcup von der IP eines gekaperten Servers aus Italien.
Montag, 7 März 2011: 1:35:25 - 17:23:25 UTC: Bruteforce-Scan auf den SSHD von einem Server in HongKong
Dienstag, 8. März 2011: 0:31:12 - 16:47:31 UTC: Bruteforce-Scan auf alle Dienste aus den USA
...
bis Freitag, 11.03.2011: 2:28:11 UTC: Immer wieder wiederholte Bruteforce und Exploit-Scans auf meinen Server von diversen IPs aus Russland, China, Korea (ja, sogar ein Ägypter war dabei...) bis mir hier jetzt der Kragen platzte und ich kurzerhand komplette Class-A-Blöcke aus besagten Staaten auf die Firewall setzte.

Aktuell ist Ruhe - alle Anfragen werden schon an der Firewall geblockt. Doch auf Dauer ist das natürlich wohl kaum eine Lösung.

Ich wende mich deshalb mit einem Gesuch um einen klugen Rat an euch: was soll ich dagegen tun? Meine nächsten Schritte, die ich eigentlich meinte mir sparen zu können, wären dann fail2ban mit VCP-Script, Mail-Reporting der Auth-Aktivität und im schlimmsten Falle kompletten Block des SSH-Zugangs für alle außer ein paar statischen IPv6-IPs (die kann ich über einen anderen Server routen). Meine Passwörter und Accounts sind zwar entsprechend sicher gestaltet (root-Login ist komplett deaktiviert), dennoch fühle ich mich nicht wohl bei dem Gedanken, ins Bett zu gehen während andere Leute Scans auf meinen Server durchführen.

Mit freundlichen Grüßen,
Dominik Bayerl