Alle Webseiten Down

    Guten Abend zusammen,


    ich habe hier offensichtlich ein Problem und bin mir nicht sicher, woher es kommt. Von vorne:



    Ich habe vor ein paar Tagen von 1.2.x (unsicher, 3 vermutlich) auf i-MSCP 1.2.9 geupdated.
    Imscp läuft auf einem Debian 7.
    Derzeit keine Plugins installiert.
    Softwarepaket Wordpress


    In den letzten Tagen lief der Server einwandfrei. Heute um 13:00 Uhr bekam ich von meinem Uptime Robot die Nachricht dass EINE webseite offline ist. Als ich nachgesehen habe, war sie bereits für einige Stunden offline. Ein Aufruf über den Webbrowser ergab garkein ergebnis. (Kein 500, kein 404, es kam garnichts zurück.) Ein Ping auf die Domain lieferte die Pakete korrekt zurück.


    Der Mailserver lief ebenfalls korrekt weiter. Es schien also alles korrekt zu funktionieren BIS auf die ausgabe dieser Webseite. Alle anderen Webseiten die diese IMSCP installation verwaltet waren online.
    Ein Neustart behob das Problem.



    Gegen ~17:00 Uhr fiel diese Webseite nochmals kurz aus, kam aber selbstständig wieder online.


    Anschließend, gegen 20:20 Uhr fielen dann alle Webseiten aus, die auf dem Server liegen. (Jeweils keine Antwort über den Webbrowser, Mailserver, Ping und auch SSH-Connection funktionieren einwandfrei.)
    Außerdem funktionierte die Weboberfläche von IMSCP ebenfalls einwandfrei. (Was ja schlicht gesagt, ebenfalls eine Webseite ist!)



    Auch hier hat ein Neustart das Problem behoben. Die Logs zeigen keinerlei Auffälligkeiten (DDOS, o.ä.). Allgemein sind keine ungewöhnlichen Zugriffe erkennbar. Die error.log diveser kleinerer Webseiten die ebenfalls nicht aufrufbar waren, sind komplett leer. Access logs zeigen ebenfalls keine Auffälligkeiten.




    Vermutlich wird das System wohl früher oder später wieder abschmieren, da ich die Ursache noch nicht gefunden habe. Ich bin mir nicht sicher, ob das Problem auf das Update zurückzuführen ist, oder ob es an anderer Stelle liegt. Zusätzliche Software ist seit dem Update nicht mehr installiert worden.


    Ein apt-get update/upgrade/dist-upgrade habe ich gerade mal durchgeführt.


    Hat jemand eine Idee?



    Gruß Pinky

    Du solltest mal in die Apache Logs schauen, was da so um die oben genannten Uhrzeiten passiert ist.


    Die Weboberfläche von i-MSCP wird durch NGINX ausgeliefert und nicht wie die Webseiten durch Apache.

    Das ist schonmal ein guter Hinweis.


    Das Apachelog unter /var/log/apache2/error.log:



    Shell-Script
    1. [Sun Aug 02 05:05:34 2015] [error] [client 72.14.199.76] File does not exist: /var/www/virtual/default/wp-content[Sun Aug 02 05:16:10 2015] [error] server reached MaxClients setting, consider raising the MaxClients setting[Sun Aug 02 06:25:07 2015] [notice] SIGUSR1 received. Doing graceful restart[Sun Aug 02 06:25:07 2015] [warn] The Alias directive in /etc/apache2/conf.d/owncloud.conf.old at line 1 will probably never match because $[Sun Aug 2 04:25:07 2015] [notice] i-MSCP Vlogger: caught TERM, shutting down[Sun Aug 02 06:25:07 2015] [notice] FastCGI: process manager initialized (pid 7192)[Sun Aug 02 06:25:07 2015] [notice] Apache/2.2.22 (Debian) mod_fastcgi/mod_fastcgi-SNAP-0910052141 mod_ssl/2.2.22 OpenSSL/1.0.1e configured$[Sun Aug 2 04:25:07 2015] [notice] i-MSCP Vlogger: started CustomLog Handler -- resuming normal operations[Sun Aug 02 06:25:19 2015] [error] [client 184.105.139.68] client denied by server configuration: /var/www/[Sun Aug 02 06:25:19 2015] [error] [client 184.105.139.68] client denied by server configuration: /var/www/errors[Sun Aug 02 06:25:19 2015] [error] [client 72.14.199.82] File does not exist: /var/www/virtual/default/wp-content[Sun Aug 02 06:25:19 2015] [error] [client 43.229.1.2] File does not exist: /var/www/virtual/default/xmlrpc.php[Sun Aug 02 06:25:19 2015] [error] [client 195.228.75.149] client denied by server configuration: /var/www/[Sun Aug 02 06:25:19 2015] [error] [client 195.228.75.149] client denied by server configuration: /var/www/errors[Sun Aug 02 06:25:19 2015] [error] [client 43.229.1.2] File does not exist: /var/www/virtual/default/xmlrpc.php[Sun Aug 02 06:25:21 2015] [error] [client 190.78.133.248] File does not exist: /var/www/virtual/default/xmlrpc.php[Sun Aug 02 06:25:21 2015] [error] [client 190.78.133.248] File does not exist: /var/www/virtual/default/xmlrpc.php


    Die heutigen Ausfallzeiten (vom 02.08.) sind:
    Domain 1: Down um 02:38
    alle anderen Domains ebenfalls Down um 05:21 Uhr.


    Alle kamen wieder online um 06:21 Uhr. (Genau eine Stunde später - Zufall?)



    MaxClients settings?
    /etc/apache2/apache2.conf:

    Shell-Script
    1. <IfModule mpm_prefork_module>
    2. StartServers 5
    3. MinSpareServers 5
    4. MaxSpareServers 10
    5. MaxClients 150
    6. MaxRequestsPerChild 0
    7. </IfModule>


    Sollte ich diesen Wert anheben? Bislang hat dieser Wert immer Problemlos ausgereicht - wie kann es sein, dass auf einmal deswegen alle Webseiten abstürzen?

    Hallo Backdraft,


    vielen Dank für den Link. Ich habe die Werte bei mir angepasst und neugestartet.
    Ich bin mir aber nicht ganz sicher, ob dies tatsächlich die Lösung ist. Am Traffic der Seiten hat sich prinzipiell nichts geändert. Ich würde also eigentlich erhöhte Zugriffe auf den Server ausschließen. (Zumindest jene, die auf natürlichem Wege reinkommen.)


    Was DDOS angeht, habe ich tatsächlich in der Syslog eine IP gefunden, die durchgehend auf den postfix smtpd zugreift. Ich habe diese IP nun geblockt und auch fail2ban auf die Mailserver erweitert.
    Ich dachte, mit der Anpassung der Werte und der fail2ban Erweiterung das Problem jetzt im Griff zu haben, aber der Server ist heute um 17:57 Uhr wieder abgeschmiert.


    Die Syslog, mail.log apache error.log machen mich alle samt nicht schlau. Meiner Meinung nach ist dort nichts auffälliges.
    Hier nochmal die error.log vom Apache:


    20:19 Uhr habe ich einen service apache2 restart ausgeführt. Seit dem sind die Webseiten auch wieder online. Vorher nichts auffälliges. Die Webseiten sind um ~17:57 Uhr ausgefallen. Ich finde keine Hinweise auf irgendeinen Fehler in den Logs.


    Hat noch jemand eine Idee, was ich versuchen könnte? Vermutlich ist es weiterhin der DDOS/Bruteforce Angriff auf meinen postifx, aber ich sehe keine Zugriffe mehr in den Logs?


    Gruß Pinky