debianforum.de under attack

Neues rund um debianforum.de
Antworten
Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

debianforum.de under attack

Beitrag von feltel » 18.02.2005 09:44:04

Wie ihr sicherlich bemerkt habt ist es heute recht langsam auf debianforum.de. Dies liegt daran das unser Server momentan von einer Unmenge von Santy-Wurm-Anfragen befeuert wird. Ich habe fast den Eindruck das durch die Santy-Infektionen im Dezember eine Art Bot-Netz aufgebaut wurde, das jetzt aktv zu werden scheint.

Zwar werden wir die Anfragen alle mit einem HTTP/1.1 403 zurück jedoch ist die Anzahl der gleichzeitigen Anfragen mitunter enorm. Ich versuche zZt. der Situation mittels iptables Herr zu werden. :roll:

Benutzeravatar
Columbus
Beiträge: 1051
Registriert: 30.04.2002 15:25:02
Wohnort: Mainz
Kontaktdaten:

Beitrag von Columbus » 18.02.2005 11:58:28

Nur mal rein Interessehalber, gibt es inzwischen bösen Code, der Linux-Rechnern zu BOT-Knoten macht. Und wie könnte man es verhindern?

Solange man keinen öffentlichen Web-Server oder Ähnliches laufen hat, sollte sich der Netzverkehr doch in Grenzen halten? Also nur Anfragen an Web oder Mail-Server wenn vom Benutzer angefordert und ab und zu noch eine Anfrage an einen DNS?

Gruss Christian

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Beitrag von feltel » 18.02.2005 17:49:34

So, die Situation hat sich zum Glück wieder normalisiert. Hier mal zwei Trafficgraphen; der erste ist von gestern, der zweite von heute (bis 17:30h). Man sieht deutlich das heute gegen 10 Uhr die Attakte begann und dann am Nachmittag langsam abebbte.

Heute sind etwas über 1,1 Mio Hits "generiert" worden; sonst haben wir pro Tag ca. 350.000 - 400.000 Hits. Dabei ist zu beachten das der Traffic alleine durch 403-Meldungen (Forbidden) bzw. 301 (Moved) erzeugt wurde. Nicht auszudenken was passiert wäre wenn wir die Anfragen zugelassen bzw. noch den alten Root-Server hätten.


Traffic 17.02.2005
Bild

Traffic 18.02.2005 bis 17:30h
Bild

ernohl
Beiträge: 1177
Registriert: 04.07.2002 08:11:56
Wohnort: HL

Beitrag von ernohl » 19.02.2005 00:05:43

feltel hat geschrieben:Nicht auszudenken was passiert wäre wenn wir ... noch den alten Root-Server hätten.
Sorry feltel. Nichts gegen deine/eure erstklassige Arbeit für dieses Forum, aber ich kann keine _signifikate_ Verbesserung erkennen. :cry: Das Antwortzeitverhalten ist besser, aber oft immer noch nervig.
Gruß
ernohl

Benutzeravatar
blackm
Moderator und Co-Admin
Beiträge: 5921
Registriert: 02.06.2002 15:03:17
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von blackm » 19.02.2005 00:23:40

8O :?:

Also bei mir ist seit dem neuen Server eine deutliche Besserung zu merken. AM Anfang hatten wir noch mir dem rdf Script Probleme, weswegen es oefters mal ein bischen laenger gedauert hat, das Problem ist aber seit ein paar Wochen behoben.

Ueber welchen Provieder gehst du den ins Netz?

by, Martin
Schöne Grüße

Martin

Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden

Benutzeravatar
KBDCALLS
Moderator
Beiträge: 22355
Registriert: 24.12.2003 21:26:55
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Dortmund
Kontaktdaten:

Beitrag von KBDCALLS » 19.02.2005 08:25:17

Ab und an kommt es aber immer noch zu einem timeout. Ist aber deutlich besser geworden. Naja Vorgestern und gestern war es ein bischen häufiger als sonst. Ist aber verständlich.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.

EDV ist die Abkürzung für: Ende der Vernunft

Bevor du einen Beitrag postest:
  • Kennst du unsere Verhaltensregeln
  • Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.

ernohl
Beiträge: 1177
Registriert: 04.07.2002 08:11:56
Wohnort: HL

Beitrag von ernohl » 19.02.2005 10:14:30

blackm hat geschrieben:Also bei mir ist seit dem neuen Server eine deutliche Besserung zu merken. AM Anfang hatten wir noch mir dem rdf Script Probleme, weswegen es oefters mal ein bischen laenger gedauert hat, das Problem ist aber seit ein paar Wochen behoben.
Ich muss meine Aussage mal etwas relativieren. Es ist spürbar besser, kein Zweifel. Wenn ich aber nach einem Mausklick mehrere Sekunden auf den Seitenaufbau warten muss, verliere ich die Geduld. Das kommt eben immer noch recht häufig vor.

@work Proxy-Server der Firma, der auch manchmal überlastet ist.
@home 1,5 Mbit DSL von Versatel.
Gruß
ernohl

floschi
Beiträge: 791
Registriert: 17.09.2002 14:36:18
Wohnort: München
Kontaktdaten:

Beitrag von floschi » 19.02.2005 12:26:06

Das kann aber gut auch am phpBB generell liegen, ist halt nunmal featurereich ;)

mastermind_the_real_one
Beiträge: 644
Registriert: 16.12.2003 15:44:51

Beitrag von mastermind_the_real_one » 19.02.2005 14:37:20

Kann ich hier nicht nachvollziehen. Kurz nach dem Umzug war es hin und wieder etwas träge, sodass ich zuerst dachte der Umzug wäre nicht nötig gewesen, weil etwas anderes die Fehlerquelle war. Das hat sich aber 1-2 Wochen danach gelegt und seitdem geht der Seitenaufruf prima. Ab und an mal ein paar kleine Hänger (ganz selten), was ich aber als völlig normal betrachte. Die Geschichte vom Freitag hab ich hier z.B. gar nicht bemerkt. Ging ratzfatz wie immer ;-) An dieser Stelle mal ein dickes Lob an das gesamte df-Team.

greetz
mastermind (mit 0815 T-Dumm-DSL unterwegs)

Benutzeravatar
blackm
Moderator und Co-Admin
Beiträge: 5921
Registriert: 02.06.2002 15:03:17
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von blackm » 19.02.2005 14:43:53

Also der Seitenaufbau ist bei mir immer schnell. Wenn ich was poste, dann dauert es manchmal ein paar Sekunden bin das erledigt ist. Wenn es mal ein bischen laenger dauert (dann hilft erstmal n Snickers ;-) ), dann kann es daran liegen das gerde n Backup der Datenbank gemacht wird (ist recht I/O indensive - das Dump ist etwa 500 MB gross).

by, Martin
Schöne Grüße

Martin

Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden

Tomek
Beiträge: 254
Registriert: 07.08.2004 10:48:37
Wohnort: Paderborn

Beitrag von Tomek » 19.02.2005 18:01:53

Benutzt ihr dafür mysqldump oder mysqlhotcopy?
Gruß,
Tomek

Benutzeravatar
blackm
Moderator und Co-Admin
Beiträge: 5921
Registriert: 02.06.2002 15:03:17
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von blackm » 19.02.2005 18:33:35

mysqldump
Schöne Grüße

Martin

Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden

Tomek
Beiträge: 254
Registriert: 07.08.2004 10:48:37
Wohnort: Paderborn

Beitrag von Tomek » 19.02.2005 19:23:34

Wäre es bei der Datenbankgröße nicht sinnvoller mysqlhotcopy zu benutzen?

Laut dem MySQL-Handbuch:
mysqlhotcopy ist ein Perl-Skript, das LOCK TABLES, FLUSH TABLES und cp oder scp benutzt, um schnell eine Datensicherung einer Datenbank anzulegen. Es stellt die schnellste Möglichkeit dar, eine Sicherung einer Datenbank oder einzelner Tabellen durchzuführen, läuft aber nur auf derselben Maschine, auf der sich die Datenbankverzeichnisse befinden.
Ich persönlich habe allerdings noch keine Erfahrung mit mysqlhotcopy gemacht.
Gruß,
Tomek

Benutzeravatar
blackm
Moderator und Co-Admin
Beiträge: 5921
Registriert: 02.06.2002 15:03:17
Lizenz eigener Beiträge: MIT Lizenz

Beitrag von blackm » 19.02.2005 19:28:13

LOCK TABLE ist nicht so guenstig. Im Wiki hatten wir das mal drin und das war der totale performance Killa.
Aber ich schau mir das mal an, vielleicht ist es ja trots LOCK TABLE performanter als die Methode die wir jetzt haben.

by, Martin
Schöne Grüße

Martin

Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Beitrag von feltel » 19.02.2005 19:34:55

mysqlhotcopy macht aber nur ne Kopie der DB-Files, was etwas ungünstig ist, da man das sicherlich nicht so einfach mit rsync weiterverarbeiten kann und dann bleibt ja noch das Problem wie ich im Fall des Falles auf die Schnelle die DB-Files in einen Dump verwandle um z.B. selektiv ne Tabelle wiederherzustellen.

HorstV
Beiträge: 419
Registriert: 11.10.2003 18:34:22
Wohnort: Grenoble / Recklinghausen

Beitrag von HorstV » 19.02.2005 20:23:43

[nörgel] für's nächste mal: Wäre es ganz nett die y-Achse bei beiden Graphen im gleichen Maßstab zu setzen. Hab mich erstmal gewundert wo der Traffic denn so hochgeschnellt sein sollte. [/nörgel]
SID on IBM T42p kernel 2.6.14.5 ati-8.20.8

ernohl
Beiträge: 1177
Registriert: 04.07.2002 08:11:56
Wohnort: HL

Beitrag von ernohl » 22.02.2005 09:42:13

blackm hat geschrieben:Also bei mir ist seit dem neuen Server eine deutliche Besserung zu merken. AM Anfang hatten wir noch mir dem rdf Script Probleme, weswegen es oefters mal ein bischen laenger gedauert hat, das Problem ist aber seit ein paar Wochen behoben.
Heute ab ca. 08:30 Uhr ging mal wieder (fast) gar nichts. :cry: Kann das jemand bestätigen? Oder lag es doch an unserem Proxy? Das halte ich aber für unwahrscheinlich, weil der Zugriff auf andere Seiten in dieser Zeit problemlos war.

Ergänzung:
09:24 Uhr: Dieses Posting lässt sich nicht absenden - keine Antwort.
09:27 Uhr: dito.
09:30 Uhr: dito.
09:38 Uhr: Wenn jetzt immer noch jemand behauptet, die Probleme gäbe es nicht mehr, gebe ich mir 'ne Kugel.
Gruß
ernohl

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Beitrag von feltel » 22.02.2005 09:45:22


Benutzeravatar
Maikel
Beiträge: 1267
Registriert: 13.04.2004 15:39:25
Wohnort: Gelsenkirchen
Kontaktdaten:

Beitrag von Maikel » 22.02.2005 10:31:53

Ich hatte schon befürchtet das df.de unseren Filterregeln in der Firma in die Finger gekommen ist.
Cheers, Maikel
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it ;)"

Benutzeravatar
feltel
Webmaster
Beiträge: 10366
Registriert: 20.12.2001 13:08:23
Lizenz eigener Beiträge: MIT Lizenz
Wohnort: Leipzig, Germany
Kontaktdaten:

Beitrag von feltel » 22.02.2005 10:36:31

:mrgreen:

Antworten