Hallo Liste!
Gestern wurde der Server eines Bekannten zur Zielscheibe einer DOS-Attacke. Das ist ein "Homepage-Server" bei 1+1, was immer das heißt. Auf jeden fall sehe ich mich da gerade mal um. Der Nutzer, mit dem ich dort per ssh auf die Kiste komme, sieht aber per ps und top nur die Prozesse seiner Session (also bash + top/ps) und angeblich schwankt der load zwischen 0.7 und 1.5. Gleichzeitig meint top die CPU wäre 77% idle:
17:01:42 up 19:57, 1 user, load average: 0.80, 0.80, 0.80 2 processes: 1 sleeping, 1 running, 0 zombie, 0 stopped CPU states: 19.2% user, 2.8% system, 0.0% nice, 78.0% idle Mem: 1016616K total, 924024K used, 92592K free, 107100K buffers Swap: 497992K total, 0K used, 497992K free, 570316K cached
PID USER PRI NI SIZE RSS SHARE STAT %CPU %MEM TIME COMMAND 14242 p3602665 17 2 2660 1444 1012 S N 0.0 0.0 0:00 bash 17782 p3602665 18 2 2024 956 760 R N 0.0 0.0 0:00 top
Das ist alles, kein httpd, kein init, kein getty.
Wie muß man das bewerten? Ist der load wirklich so hoch oder ist das nur die Folge der Nutzer-Einschränkung? Die Kiste scheint ganz gut im Futter zu stehen (siehe ganz unten) und die normalen Web-Zugriffe sollten nicht so viel Last verursachen, denn bis vor drei Wochen lief das ganze noch auf einem langsameren Host mit 30 anderen Kunden und es war wohl erträglich.
Viel Grüße Eric
cat /proc/cpuinfo
processor : 0 vendor_id : AuthenticAMD cpu family : 15 model : 107 model name : AMD Athlon(tm) 64 X2 Dual Core Processor 4000+ stepping : 1 cpu MHz : 2000.000 cache size : 512 KB physical id : 0 siblings : 2 core id : 0 cpu cores : 2 fdiv_bug : no hlt_bug : no f00f_bug : no coma_bug : no fpu : yes fpu_exception : yes cpuid level : 1 wp : yes flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx mmxext fxsr_opt lm 3dnowext 3dnow pni cx16 lahf_lm cmp_legacy svm cr8legacy ts fid vid ttp tm stc [6] bogomips : 4029.95
processor : 1 vendor_id : AuthenticAMD cpu family : 15 model : 107 model name : AMD Athlon(tm) 64 X2 Dual Core Processor 4000+ stepping : 1 cpu MHz : 2000.000 cache size : 512 KB physical id : 0 siblings : 2 core id : 1 cpu cores : 2 fdiv_bug : no hlt_bug : no f00f_bug : no coma_bug : no fpu : yes fpu_exception : yes cpuid level : 1 wp : yes flags : fpu vme de pse tsc msr pae mce cx8 apic sep mtrr pge mca cmov pat pse36 clflush mmx fxsr sse sse2 ht syscall nx mmxext fxsr_opt lm 3dnowext 3dnow pni cx16 lahf_lm cmp_legacy svm cr8legacy ts fid vid ttp tm stc [6] bogomips : 4018.67
Hi Eric,
Gestern wurde der Server eines Bekannten zur Zielscheibe einer DOS-Attacke.
Ist die noch im Gange?
heißt. Auf jeden fall sehe ich mich da gerade mal um. Der Nutzer, mit dem ich dort per ssh auf die Kiste komme, sieht aber per ps und top nur die Prozesse seiner Session (also bash + top/ps) und angeblich
Log dich mal ein zweites Mal parallel ein - ich denke, er sieht alle Prozesse, die unter seiner eigenen UID laufen. Das ist z.B. unter SELinux standardmäßig so. (und afaik sehr sinnvoll für Server, auf denen DAUs unterwegs sind, die z.B. nicht wissen, dass sie keine Passwörter in die Parameter ihrer Skripte einbauen dürfen)
schwankt der load zwischen 0.7 und 1.5. Gleichzeitig meint top die CPU wäre 77% idle:
Load = Anzahl der auf CPU wartenden + Anzahl der auf IO wartenden Prozesse.
Wenn die Maschine z.B. mehrere Cores hat (bei Shared nicht unüblich) kann das gut und gern sein. [gerade Specs hinten gelesen - ja ist sie]
Wie muß man das bewerten? Ist der load wirklich so hoch oder ist das nur die Folge der Nutzer-Einschränkung?
Load ist hoch? 1.5 ist ein Spitzenwert für einen Server, der tatsächlich was zu tun hat!
Viele Grüße Fabian
Fabian Hänsel schrieb:
Gestern wurde der Server eines Bekannten zur Zielscheibe einer DOS-Attacke.
Ist die noch im Gange?
Nein.
schwankt der load zwischen 0.7 und 1.5. Gleichzeitig meint top die CPU wäre 77% idle:
Load = Anzahl der auf CPU wartenden + Anzahl der auf IO wartenden Prozesse.
Das ist mir klar.
Wie muß man das bewerten? Ist der load wirklich so hoch oder ist das nur die Folge der Nutzer-Einschränkung?
Load ist hoch? 1.5 ist ein Spitzenwert für einen Server, der tatsächlich was zu tun hat!
Aber nicht, wenn er nur ein paar Anfragen pro Sekunde zu bewältigen hat. Das sollte die Kiste im Schlaf absolvieren.
Viele Grüße Eric
Load ist hoch? 1.5 ist ein Spitzenwert für einen Server, der tatsächlich was zu tun hat!
Aber nicht, wenn er nur ein paar Anfragen pro Sekunde zu bewältigen hat. Das sollte die Kiste im Schlaf absolvieren.
Aber es sind doch noch andere Parteien auf dem Server, oder? Und wieviele Anfragen die haben weißt du ja nicht. Und das werden vermutlich schon ein paar sein, der Hoster ist ja bestrebt möglichst viele Homepages auf einen Server zu bekommen, damit das ganze für ihn wirtschaftlich wird.
Wie auch immer: ich würd mich an deiner Stelle nicht an der Load aufhängen, sondern daran, in welcher Geschwindigkeiten die Seiten ausgeliefert werden, für die ich bezahle.
Viele Grüße Fabian
Fabian Hänsel schrieb:
Aber es sind doch noch andere Parteien auf dem Server, oder? Und wieviele Anfragen die haben weißt du ja nicht. Und das werden vermutlich schon ein paar sein, der Hoster ist ja bestrebt möglichst viele Homepages auf einen Server zu bekommen, damit das ganze für ihn wirtschaftlich wird.
Nö, da ist sonst keiner drauf. Das Teil nennt sich "Homepage-Server" und so eine Art gemanageter Server, aber kein virtueller, sondern richtiges Eisen.
Wie auch immer: ich würd mich an deiner Stelle nicht an der Load aufhängen, sondern daran, in welcher Geschwindigkeiten die Seiten ausgeliefert werden, für die ich bezahle.
Das ist natürlich richtig. Ich wollte ja auch nur ergründen woher die Last kommt.
Viele Grüße Eric Schäfer
Frank Gerlach schrieb:
Aber nicht, wenn er nur ein paar Anfragen pro Sekunde zu bewältigen hat. Das sollte die Kiste im Schlaf absolvieren.
Naja, so pauschal kann man das nicht sagen; haengt von der Grosser der Seite ab und ob irgendwelche (halbgaren ?) Skriptchen laufen.
Da läuft ein PHP-CMS drauf, aber die "Anfragen pro Sekunde" sind nicht Views/s sondern tatsächliche http-Requests und die Mehrzahl davon sind Grafiken, Stylesheets und andere statische Elemente.
Viele Grüße Eric
lug-dd@mailman.schlittermann.de
-
Eric-Alexander Schaefer -
Fabian Hänsel -
Frank Gerlach