Beiträge von ndurchx

Es handelt sich um ein Debian 9.9

Kernel 4.9.0-9-amd64

Ich spiele fast täglich Paketupdates ein. Gestern wurden noch keine Updates installiert.

Hier die Ausgabe der Sequenz mit dem Löschen des Caches:

total        used        free      shared  buff/cache   available
Mem:       12307328    10438944      261404       10276     1606980     1594012
Swap:       1492988     1340752      152236
              total        used        free      shared  buff/cache   available
Mem:       12307328    10439688     1673576       10276      194064     1612204
Swap:       1492988     1340744      152244

Anschließend wurde der ganze Docker Daemon beendet (+Cache Leerung):

total        used        free      shared  buff/cache   available
Mem:       12307328     9410024     2807744       10336       89560     2694024
Swap:       1492988      463112     1029876

Beenden von amavis und clam-daemon:

total        used        free      shared  buff/cache   available
Mem:       12307328     9254588     2766640       11608      286100     2790976
Swap:       1492988      362744     1130244
              total        used        free      shared  buff/cache   available
Mem:       12307328     9254436     2968544       11608       84348     2851660
Swap:       1492988      362744     1130244

Anschließend gestaltet sich die Prozessliste (auf eine Seite gekürzt) so:

1.92969 MB        4348    nginx:
2.22266 MB        435    /usr/sbin/cron
2.375 MB        4353    nginx:
2.69531 MB        1344    /usr/lib/postfix/sbin/master
2.94141 MB        378    /sbin/rpcbind
3.02344 MB        437    /usr/sbin/rsyslogd
3.10156 MB        17501    ps
3.17969 MB        923    /usr/bin/turnserver
3.18359 MB        1346    qmgr
3.23047 MB        1194    /usr/sbin/ntpd
3.23047 MB        14222    su
3.25 MB        287    /lib/systemd/systemd-udevd
3.33203 MB        20580    sshd:
3.38281 MB        403    /lib/systemd/systemd-logind
3.41406 MB        418    /usr/bin/dbus-daemon
3.55078 MB        17502    bash
3.57812 MB        816    /usr/sbin/sshd
3.60938 MB        14513    anvil
3.63672 MB        14221    sudo
4.11719 MB        14621    dovecot/auth
4.18359 MB        4352    nginx:
4.26953 MB        830    /usr/bin/redis-server
4.34375 MB        1423    tlsmgr
4.49609 MB        20555    sshd:
4.55469 MB        20573    /lib/systemd/systemd
4.62891 MB        24877    /usr/lib/policykit-1/polkitd
4.65625 MB        14624    dovecot/auth
5.25781 MB        20581    -bash
5.30469 MB        4350    nginx:
5.38281 MB        24825    /usr/lib/packagekit/packagekitd
5.51953 MB        743    /usr/bin/python
5.62891 MB        17395    sshd:
5.66406 MB        404    /usr/bin/freshclam
5.96484 MB        1    /sbin/init
6.3125 MB        4351    nginx:
6.41406 MB        27174    pickup
6.63672 MB        612    /usr/lib/postgresql/9.6/bin/postgres
6.67578 MB        14223    bash
7.46484 MB        734    php-fpm:
7.54688 MB        740    php-fpm:
7.88672 MB        1273    php-fpm:
8.18359 MB        1663    /usr/bin/php
8.23047 MB        1650    /usr/bin/php
8.30078 MB        1651    /usr/bin/php
8.36328 MB        1649    /usr/bin/php
8.86328 MB        4349    nginx:
9.14844 MB        2913    smtpd
10.4492 MB        4152    smtpd
10.5 MB        14070    smtpd
11.1445 MB        239    /lib/systemd/systemd-journald
16.0117 MB        17500    php-fpm:
19.707 MB        1690    lua5.2
19.7578 MB        1186    /usr/bin/python3
22.375 MB        747    /usr/bin/syncthing
206.504 MB        20856    /usr/sbin/mysqld

Seit der Zombieload Wartung ist der RAM meines Servers fast voll. Wenn ich Dienste, welche vorher dauerhaft liefen starte, wird dann auch der Swapspace bis zum Rand befüllt.

Die laufenden Prozesse verbrauchen aber bei weitem nicht soviel Arbeitsspeicher, wie in Nutzung ist.

Die Datei im Anhang besteht aus der Ausgabe von "free" und die Prozessliste, sortiert nach Arbeitsspeicher Nutzung. Erzeugt mit: ps aux  | awk '{print $6/1024  " MB\t\t" $2 "\t" $11}'  | sort -n

Der Helpdesk kann mir leider nicht helfen, da das Problem nicht im Rettungssystem auftritt...

Produkt: Root-Server L SSD v6 6MFestplatte: 240 GB SSD Performance

Arbeitsspeicher DDR 4 ECC: 12 GB

Prozessorkerne: 4 dediziert

Prozessor: Intel® Xeon® E5-26xxV3

Zitat von julian-w

System noch mal neu gestartet? Hast du mal in der Prozessliste geschaut wo es klemmt? Am besten machst du dazu aber erst mal einen neuen Thread auf.

Ja, zweimal. Die Prozesse am System verbrauchen nicht anzatzweise soviel Arbeitsspeicher, wie besetzt ist.

Seit der Wartung ist der Server nicht mehr nutzbar. Arbeitsspeicher und Swap sind randvoll...

Du könntest beide Domains auf die Wordpress Installation leiten und diese als Multiblog einrichten... Google wordpress multiblog

Hi,

einfach einen neuen Bereich für jede Log erstellen.
Würde dann bei dir so aussehen:

[apache-404]
enabled = true
port = http,https
filter = apache-404
logpath = /var/log/apache*/*error.log
maxretry = 3

[apache-404_domain1]
enabled = true
port = http,https
filter = apache-404
logpath = /var/log/apache2/users/domain1-error.log
maxretry = 3

[apache-404_domain2]
enabled = true
port = http,https
filter = apache-404
logpath = /var/log/apache2/users/domain2-error.log
maxretry = 3

Hi extremmichi,

es waere schon moeglich, z.B. nur die Regeln loeschen zu lassen, welche alle ports fuer eine ip sperren, das wuerde dann deinen Wunsch erfuellen, jedoch fehlt mir im Moment die Zeit dazu... sorry.

In der
/etc/mysql/my.cnf
die Zeile
bind-address = 127.0.0.1
auskommentieren. Also
#bind-address = 127.0.0.1

Zitat

Hi Knutowskie,
folgendes ist auch die Antwort auf deine Mail:

Anstatt die Klammern auszutauschen, hätte auch gereicht, die erste Zeile in !#/bin/bash zu ändern.
Es ist Absicht dass die IPv4 Adressen in den V6 Bereich geschrieben werden, da V4 Adressen in V6 Adressen emuliert werden können. Es schadet nicht, dass die IP auch im V6 Bereich gebannt wird.
Es wird auch nichts zugemüllt, weil die IP beim entbannen auch aus der V6 Firewall gelöscht wird.

Zitat von xb8tom

Ja das erwarte ich ja auch nicht , aber jeder Normale Server , macht bei einem Fehlgeschlagenem require ein Abbruch und gibt optional ein PHP Fehler aus , ein 500 Eroor darf nicht passieren.

Ich glaube, einfaches Webhosting wäre für dich besser geeignet...

Man kann mit fail2ban praktisch alles überwachen, was in ein log geschrieben wird, man braucht nur die richtige regex...
In deinem Fall würd ich mir mal mod_security fürn apache ansehen, der könnte sowas vllt auch abfangen.

Hier findest du eigentlich alle Antworten die du brauchst:

vServer fail2ban Alternative
Fail2Ban / IPTables auf Netcup VServern - n-durch-x

Hast du schon versucht, die erste Zeile des Scriptes von #!/bin/sh auf #!/bin/bash zu ändern?

Zitat von Pionier

Sollte hier nicht sync stehen?

Nö, action reicht.

Ich hab grad meinen Testserver Ubuntu 10.04LTS installiert um zu testen woran es liegen könnte... Nur leider hats funktioniert...

Da ich keine Erfahrung mit Ubuntu habe und fail2ban beim testen mit meinem Script funktioniert hat, kann ich dir leider nicht weiter helfen als narayan es schon getan hat.
Ich kann höchstens noch die Vermutung äußern, dass es irgendwo an den Dateirechten hakt... ansonsten Wünsche ich dir noch viel Glück bei der Fehlersuche und wenns nicht klappt... ich empfehle Debian

denis1969

Zitat von stachi;37160

Ihr habt wahrscheinlich unterschiedliche Standard Shells.

Ändere mal ganz oben

Bash

#!/bin/sh

in

Bash

#!/bin/bash

Alternativ könnte man auch die if abfragen umschreiben.

Hi,

es gibt eine neue Version des Scriptes. Bitte aktualisieren.
http://blog.n-durch-x.de/2011/…2ban-auf-netcup-vservern/

Bisher war das Entfernen eines bans anscheinend unzuverlässig.

Ferndiagnose ist nicht ganz so einfach.
Ich hab das Script aber etwas abgeändert, versucht das mal.
http://blog.n-durch-x.de/2011/…2ban-auf-netcup-vservern/

Wenn das auch nicht funktioniert, bräuchte ich von euch mehr Infos (OS, Output wenn ihrs von Hand ausführt [und am besten auch noch Zugang zu eurem VCP und SSH auf eurem Server :eek:].
Wenn Ihr mir keinen Zugang gebt (was ich auch nicht machen würde), ihr mir aber den Output schickt, müsst Ihr bei diesem auch noch eure Zugangsdaten entfernen.

Kannst du bitte mal das Script von Hand ausführen und sehen ob es so funktioniert?
./sync.sh 1.1.1.1 add

Man hört gerne Lob

Zitat von Bulli;37148

Hallo,

ich habe jetzt auch das neue Script genommen, allerdings werden die ipv4 Adressen unter ipv6 im Controlpanel angezeigt. Unter Quell-IP steht z.B. folgendes ::FFFF:192.168.12.2

Das ist Absicht, um die IP auch auf IPv6 Adressen zu sperren. Die IPv4 Adressen sollten allerdings auch in der V4 Firewall auftauchen. Umgekehrt gehts aber nicht.
Wenns dich aber stört, kann ich dir das Script auch für dich angepasst schicken.

Unter http://blog.n-durch-x.de/2011/…2ban-auf-netcup-vservern/ hab ich noch eine Anleitung hinzugefügt.
VG