g-tech
Goto Top

SSH und WebMin extrem langsam

Server ist ein:
Suse 10.1
AMD Athlon 64 3700+
1 GB DDR400 RAM
von Hetzner

auf dem lediglich ein LAMP-Stack plus Postfix & FTP am laufen sind.

Hallo zusammen,

habe seit einigen Wochen massive Geschwindigkeitseinbrüche im SSH-, bzw. Webminzugriff auf meinen Server.

Genauergesagt:

SSH:
Funktioniert soweit, allerdings braucht mein Server nach Eingabe von Benutzername und Passwort gute 20-30 sek., bis ich angemeldet bin. Das war zuvor eine Sache von ein paar Sekunden.

WebMin:
Lief anfänglich super schnell, hat mittlerweile auch Ladezeiten von bis zu 30 sek. oder noch länger

Alle anderen Dienste:
Apache, mySQL, Postfix, etc laufen einwandfrei (schnell) Webseiten werden ohne größere Verzögerungen ausgeliefert.



Der Server dient im Moment als einfache Webserver, sprich LAMP-Stack + Postfix und ist wenn ich uptime aufrufe im Schnitt mit allen drei Angaben unter 0,2.

"Top" zeigt mir auch nahezu immer 99% idle an.


Kann mir einer von euch sagen, warum der Server bei SSH und WebMin derart in die Knie geht???

Vielen Dank im vorraus

Content-Key: 61180

Url: https://administrator.de/contentid/61180

Ausgedruckt am: 19.03.2024 um 09:03 Uhr

Mitglied: spacyfreak
spacyfreak 12.06.2007 um 20:44:16 Uhr
Goto Top
Gehackt?

Was sagt

tail -200 /var/log/messages

Vor allem - wer hat sich eingeloggt, bzw. versucht sich einzuloggen?


Sniff mal den Traffic

tcpdump -i eth0 -vvv > tcpdump$date.txt

more tcpdump$date.txt


Wahrscheinlich wird dein Server längst als Spamschleuder, Scanner oder Fileserver "missbraucht".
Mitglied: g-tech
g-tech 12.06.2007 um 21:00:33 Uhr
Goto Top
jain, habe vorhin eine Liste meiner Prozesse mit

"ps -ef | more > file"

erstellt - kannst Dir gerne anschaun unter:
"http://www.g-dev.de/tmp/ps.txt"

sieht aber eigentlich recht normal aus.

was ich viel habe, sind Loginversuche via SSH, allerdings soweit ich es bisher ersehen konnte ohne Erfolg.

hier ein Auszug aus:
"tail -n 500 -f /var/log/messages | grep ssh > /srv/www/htdocs/tail.txt"

Die ersten beiden Zeilen hab ich zu hunderten, deshalb habe ich jetzt den SSH-Port geändert.

Jun 12 09:24:54 suse101lamp sshd[28717]: Address 88.248.240.14 maps to e-webtr.com, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
Jun 12 09:24:56 suse101lamp sshd[28719]: Address 88.248.240.14 maps to e-webtr.com, but this does not map back to the address - POSSIBLE BREAKIN ATTEMPT!
sshd[29382]: Did not receive identification string from 69.15.220.37
Jun 12 18:06:55 suse101lamp sshd[29721]: Accepted keyboard-interactive/pam for binda from 84.156.176.123 port 46824 ssh2
Jun 12 18:11:15 suse101lamp sshd[29796]: Accepted keyboard-interactive/pam for binda from 84.156.176.123 port 42801 ssh2
Jun 12 19:43:36 suse101lamp sshd[30388]: Accepted keyboard-interactive/pam for binda from 84.156.147.187 port 35075 ssh2
Mitglied: spacyfreak
spacyfreak 12.06.2007 um 21:16:22 Uhr
Goto Top
SSHd Port ändern ist schonmal keine schlechte Idee.
Weiterhin könntest Du direkten root login per ssh verbieten, oder nur Authentisierung per ssh key erlauben, das ist wohl das sicherste.

Im ps File seh ich auch nix was mir aufstossen würde, bin aber auch kein Crack in dem Bereich.

Mal den Server neugestartet spasshalber?

tcpdump probiert was so im netz los ist?
Mitglied: g-tech
g-tech 12.06.2007 um 21:22:25 Uhr
Goto Top
Direktes SSH-Login für root ist auch schon abgedreht...

Server hab ich vorhin "spasshalber" neugestartet, ist allerdings genauso langsam wie davor...

tcpdump hab ich grade mal angeworfen, soweit ich es erkennen kann auch nichts wirklich dramatisches enthalten...

http://www.g-dev.de/tmp/tcp_dump.txt

Falls Du es Dir noch kurz ansehn magst...
Mitglied: spacyfreak
spacyfreak 12.06.2007 um 21:38:08 Uhr
Goto Top
Ok, da seh ich auch nix was ins Auge sticht.

Mal die Logfiles der Datenbank und der anderen Dienste angeschaut, unter /var/log/apache2 oder so ähnlich glaub ich usw?

Hast du mal probiert, mit nem anderen Client zuzugreifen? Vielleicht liegts ja nichtmal am Serv er...
Mitglied: g-tech
g-tech 12.06.2007 um 21:50:21 Uhr
Goto Top
ne, außer so wie es aussieht etliche aufgrund von reverse-dns (o.ä.) abgeblockten email, und ein paar Einträgen, dass meine mailtables nicht ganz aktuell sind auch nichts weiter auffälliges...

mysql findet ein paar Tabellen nicht mehr, was aber auch nichts machen sollte, da diese Datenbanken im Moment nicht mehr benutzt werden...


sch*** technik...
Mitglied: freesmurf
freesmurf 19.06.2007 um 15:54:53 Uhr
Goto Top
Hallochen

Hab genau das selbe Problem, lustigerweise auch auf einem Hetzner Server. Und auch das Gefühl, nicht gehackt zu werden, auf Apache kein riesen Traffic, genau wie von meinem Vorgänger beschrieben...