debianforum.de under attack
- feltel
- Webmaster
- Beiträge: 10366
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
debianforum.de under attack
Wie ihr sicherlich bemerkt habt ist es heute recht langsam auf debianforum.de. Dies liegt daran das unser Server momentan von einer Unmenge von Santy-Wurm-Anfragen befeuert wird. Ich habe fast den Eindruck das durch die Santy-Infektionen im Dezember eine Art Bot-Netz aufgebaut wurde, das jetzt aktv zu werden scheint.
Zwar werden wir die Anfragen alle mit einem HTTP/1.1 403 zurück jedoch ist die Anzahl der gleichzeitigen Anfragen mitunter enorm. Ich versuche zZt. der Situation mittels iptables Herr zu werden.
Zwar werden wir die Anfragen alle mit einem HTTP/1.1 403 zurück jedoch ist die Anzahl der gleichzeitigen Anfragen mitunter enorm. Ich versuche zZt. der Situation mittels iptables Herr zu werden.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Nur mal rein Interessehalber, gibt es inzwischen bösen Code, der Linux-Rechnern zu BOT-Knoten macht. Und wie könnte man es verhindern?
Solange man keinen öffentlichen Web-Server oder Ähnliches laufen hat, sollte sich der Netzverkehr doch in Grenzen halten? Also nur Anfragen an Web oder Mail-Server wenn vom Benutzer angefordert und ab und zu noch eine Anfrage an einen DNS?
Gruss Christian
Solange man keinen öffentlichen Web-Server oder Ähnliches laufen hat, sollte sich der Netzverkehr doch in Grenzen halten? Also nur Anfragen an Web oder Mail-Server wenn vom Benutzer angefordert und ab und zu noch eine Anfrage an einen DNS?
Gruss Christian
- feltel
- Webmaster
- Beiträge: 10366
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
So, die Situation hat sich zum Glück wieder normalisiert. Hier mal zwei Trafficgraphen; der erste ist von gestern, der zweite von heute (bis 17:30h). Man sieht deutlich das heute gegen 10 Uhr die Attakte begann und dann am Nachmittag langsam abebbte.
Heute sind etwas über 1,1 Mio Hits "generiert" worden; sonst haben wir pro Tag ca. 350.000 - 400.000 Hits. Dabei ist zu beachten das der Traffic alleine durch 403-Meldungen (Forbidden) bzw. 301 (Moved) erzeugt wurde. Nicht auszudenken was passiert wäre wenn wir die Anfragen zugelassen bzw. noch den alten Root-Server hätten.
Traffic 17.02.2005
Traffic 18.02.2005 bis 17:30h
Heute sind etwas über 1,1 Mio Hits "generiert" worden; sonst haben wir pro Tag ca. 350.000 - 400.000 Hits. Dabei ist zu beachten das der Traffic alleine durch 403-Meldungen (Forbidden) bzw. 301 (Moved) erzeugt wurde. Nicht auszudenken was passiert wäre wenn wir die Anfragen zugelassen bzw. noch den alten Root-Server hätten.
Traffic 17.02.2005
Traffic 18.02.2005 bis 17:30h
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Sorry feltel. Nichts gegen deine/eure erstklassige Arbeit für dieses Forum, aber ich kann keine _signifikate_ Verbesserung erkennen. Das Antwortzeitverhalten ist besser, aber oft immer noch nervig.feltel hat geschrieben:Nicht auszudenken was passiert wäre wenn wir ... noch den alten Root-Server hätten.
Gruß
ernohl
ernohl
- blackm
- Moderator und Co-Admin
- Beiträge: 5921
- Registriert: 02.06.2002 15:03:17
- Lizenz eigener Beiträge: MIT Lizenz
Also bei mir ist seit dem neuen Server eine deutliche Besserung zu merken. AM Anfang hatten wir noch mir dem rdf Script Probleme, weswegen es oefters mal ein bischen laenger gedauert hat, das Problem ist aber seit ein paar Wochen behoben.
Ueber welchen Provieder gehst du den ins Netz?
by, Martin
Schöne Grüße
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
- KBDCALLS
- Moderator
- Beiträge: 22355
- Registriert: 24.12.2003 21:26:55
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Dortmund
-
Kontaktdaten:
Ab und an kommt es aber immer noch zu einem timeout. Ist aber deutlich besser geworden. Naja Vorgestern und gestern war es ein bischen häufiger als sonst. Ist aber verständlich.
Was haben Windows und ein Uboot gemeinsam?
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
Kaum macht man ein Fenster auf, gehen die Probleme los.
EDV ist die Abkürzung für: Ende der Vernunft
Bevor du einen Beitrag postest:
- Kennst du unsere Verhaltensregeln
- Lange Codezeilen/Logs gehören nach NoPaste, in Deinen Beitrag dann der passende Link dazu.
Ich muss meine Aussage mal etwas relativieren. Es ist spürbar besser, kein Zweifel. Wenn ich aber nach einem Mausklick mehrere Sekunden auf den Seitenaufbau warten muss, verliere ich die Geduld. Das kommt eben immer noch recht häufig vor.blackm hat geschrieben:Also bei mir ist seit dem neuen Server eine deutliche Besserung zu merken. AM Anfang hatten wir noch mir dem rdf Script Probleme, weswegen es oefters mal ein bischen laenger gedauert hat, das Problem ist aber seit ein paar Wochen behoben.
@work Proxy-Server der Firma, der auch manchmal überlastet ist.
@home 1,5 Mbit DSL von Versatel.
Gruß
ernohl
ernohl
-
- Beiträge: 644
- Registriert: 16.12.2003 15:44:51
Kann ich hier nicht nachvollziehen. Kurz nach dem Umzug war es hin und wieder etwas träge, sodass ich zuerst dachte der Umzug wäre nicht nötig gewesen, weil etwas anderes die Fehlerquelle war. Das hat sich aber 1-2 Wochen danach gelegt und seitdem geht der Seitenaufruf prima. Ab und an mal ein paar kleine Hänger (ganz selten), was ich aber als völlig normal betrachte. Die Geschichte vom Freitag hab ich hier z.B. gar nicht bemerkt. Ging ratzfatz wie immer An dieser Stelle mal ein dickes Lob an das gesamte df-Team.
greetz
mastermind (mit 0815 T-Dumm-DSL unterwegs)
greetz
mastermind (mit 0815 T-Dumm-DSL unterwegs)
- blackm
- Moderator und Co-Admin
- Beiträge: 5921
- Registriert: 02.06.2002 15:03:17
- Lizenz eigener Beiträge: MIT Lizenz
Also der Seitenaufbau ist bei mir immer schnell. Wenn ich was poste, dann dauert es manchmal ein paar Sekunden bin das erledigt ist. Wenn es mal ein bischen laenger dauert (dann hilft erstmal n Snickers ), dann kann es daran liegen das gerde n Backup der Datenbank gemacht wird (ist recht I/O indensive - das Dump ist etwa 500 MB gross).
by, Martin
by, Martin
Schöne Grüße
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
- blackm
- Moderator und Co-Admin
- Beiträge: 5921
- Registriert: 02.06.2002 15:03:17
- Lizenz eigener Beiträge: MIT Lizenz
mysqldump
Schöne Grüße
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Wäre es bei der Datenbankgröße nicht sinnvoller mysqlhotcopy zu benutzen?
Laut dem MySQL-Handbuch:
Laut dem MySQL-Handbuch:
Ich persönlich habe allerdings noch keine Erfahrung mit mysqlhotcopy gemacht.mysqlhotcopy ist ein Perl-Skript, das LOCK TABLES, FLUSH TABLES und cp oder scp benutzt, um schnell eine Datensicherung einer Datenbank anzulegen. Es stellt die schnellste Möglichkeit dar, eine Sicherung einer Datenbank oder einzelner Tabellen durchzuführen, läuft aber nur auf derselben Maschine, auf der sich die Datenbankverzeichnisse befinden.
Gruß,
Tomek
Tomek
- blackm
- Moderator und Co-Admin
- Beiträge: 5921
- Registriert: 02.06.2002 15:03:17
- Lizenz eigener Beiträge: MIT Lizenz
LOCK TABLE ist nicht so guenstig. Im Wiki hatten wir das mal drin und das war der totale performance Killa.
Aber ich schau mir das mal an, vielleicht ist es ja trots LOCK TABLE performanter als die Methode die wir jetzt haben.
by, Martin
Aber ich schau mir das mal an, vielleicht ist es ja trots LOCK TABLE performanter als die Methode die wir jetzt haben.
by, Martin
Schöne Grüße
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
Martin
Neu im Forum? --> https://wiki.debianforum.de/debianforum ... tensregeln
Log- und Konfigurationsdatein? --> pastebin.php
Forum unterstützen? --> https://wiki.debianforum.de/debianforum.de/Spenden
- feltel
- Webmaster
- Beiträge: 10366
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
mysqlhotcopy macht aber nur ne Kopie der DB-Files, was etwas ungünstig ist, da man das sicherlich nicht so einfach mit rsync weiterverarbeiten kann und dann bleibt ja noch das Problem wie ich im Fall des Falles auf die Schnelle die DB-Files in einen Dump verwandle um z.B. selektiv ne Tabelle wiederherzustellen.
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Heute ab ca. 08:30 Uhr ging mal wieder (fast) gar nichts. Kann das jemand bestätigen? Oder lag es doch an unserem Proxy? Das halte ich aber für unwahrscheinlich, weil der Zugriff auf andere Seiten in dieser Zeit problemlos war.blackm hat geschrieben:Also bei mir ist seit dem neuen Server eine deutliche Besserung zu merken. AM Anfang hatten wir noch mir dem rdf Script Probleme, weswegen es oefters mal ein bischen laenger gedauert hat, das Problem ist aber seit ein paar Wochen behoben.
Ergänzung:
09:24 Uhr: Dieses Posting lässt sich nicht absenden - keine Antwort.
09:27 Uhr: dito.
09:30 Uhr: dito.
09:38 Uhr: Wenn jetzt immer noch jemand behauptet, die Probleme gäbe es nicht mehr, gebe ich mir 'ne Kugel.
Gruß
ernohl
ernohl
- feltel
- Webmaster
- Beiträge: 10366
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM
Ich hatte schon befürchtet das df.de unseren Filterregeln in der Firma in die Finger gekommen ist.
Cheers, Maikel
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it "
------------
BGLUG
------------
Linus Torvalds:
"Only wimps use tape backup: _real_ men just upload their important stuff on ftp, and let the rest of the world mirror it "
- feltel
- Webmaster
- Beiträge: 10366
- Registriert: 20.12.2001 13:08:23
- Lizenz eigener Beiträge: MIT Lizenz
- Wohnort: Leipzig, Germany
-
Kontaktdaten:
debianforum.de unterstützen? Hier! | debianforum.de Verhaltensregeln | Bitte keine Supportanfragen per PM