SOS - Besoin d'aide pour pb sur serveur dédié

[remédien]

Salut à tous

J'ai besoin de tuyaux d'expert car j'ai un problème incompréhensible sur mon nouveau serveur dédié. J' y héberge plusiieurs sites, dont un forum qui fait la plus grande partie du traffic. Ce forum est basé sur pas mal de progra maison + une base d'un vieux forum public.
Mon soucis est que ce forum, de facon aléatoire dans le temps, fait exploser le serveur : le nombre de process se multiplient d'un coup, la charge grimpe grimpe grimpe ... en redémarrant apache tout retombe et tout recommence ensuite à quelques minutes ou a plusieurs heures .

Je me suis dit qu'il y avait une faille dans la progra et donc j'ai regardé et fait ceci :
1) log apache : ras
2) log myql : ras
3) nouveau forum (100%) sur même nom de domaine : même surcharge aléatoire
4) En faisant tourner le forum sous un autre nom de domaine, pas de problème ...

Je précise bien sur que le nombre de connectés simultanés n'est bien sur pas en jeu.

J'ai mailé le support technique de l'hébergeur qui m'a demandé de tester le hd : ras (2 secteurs donnés comme mauvais, en fin d'hd et donc normal d'après l'hébergeur)

Mon gros soucis c'est que ce forum tournait sans problème depuis 2000 et que je suis en train de perdre tout le référencement ...

Je pense bien sur à une attaque extérieur (c pour ca que j'ai changé d'hébergeur et que j'ai pris l'un d'eux qui me faisait toutes les maj du serveur en quasi temps réel) comme j'en ai déjà subi .... Mais là je ne trouve pas de parade et pour tout dire, je n'ai aucune idée du problème ...

Merci à ceux qui pourront m'aider ou me donner des pistes.

B.

 

[manitou]

On a connu le même problème.
Nous c'était du à des attaques dos sur des connexions https : en 20 minutes le serveur rendait l'âme.

Je ne sais plus ce qu'à fait l'admin serveur mais normallement du devrai voir quelque chose dans tes logs, genre plein de requêtes à 0 octets.

Sinon quels processus se multiplient : mysql, https.... ?

 

[remédien]

J'ai déjà eu le coup des log à 0 octets ... mais là c'est pas le cas.
Ici c'est mysql et apache qui semblent proliférer et tourner à donf .... ca part en salve en qqs secondes. Des semaines qu'on me tape dessus. J'en suis presque à raccrocher. Heureusement que c'est pas mon business ....

B.

 

[manitou]

Quel est ton site ?
Quand tu dis

nouveau forum (100%) sur même nom de domaine : même surcharge aléatoire

tu veux dire quoi exactement ?

Le fait que sur un autre nom de domaine ça marche fait penser à une attaque....
Nom de l'ancien et du nouveau ndd stp.

Là je ne pense à rien de précis mais je te demande toutes ces infos pour y voir plus clair.

 

[stream]

Je pense que ça vient d'Apache. Peux tu faire la commande suivante pour me dire combien de proccess tu as :

netstat -taupen | grep "IP de ton serveur":80 | wc -l

 

[remédien]

Quand je disais nouveau forum, je voulais dire : installation d'un forum directement sorti de sa distrib officielle. (ce qui a priori exclu mes potentielles erreurs de progra)

Sinon pour le noms de domaine : je suis passé de forums.remede.org à forums3.remede.org
Un simple htaccess dans forums.remede.org pour en interdire l'accès a tous ou seulement par mot de passe permetait de ne pas subir l'attaque. Pour l'instant dans forums.remede.org j'ai placé un htaccess qui renvoir un 404 avec un page de lien (et renvoi auto par javascript)

enfin à l'heure actuelle, j'ai environ 35 réponse pour la commande netstat ... (mais le serveur tourne tranquilos)

merci pour votre aide !

B.

 

[manitou]

Comme tu en constate rien dans tes stats celà signifie que quelque soit ce qui est installé sur ce nom de domaine ça fait proliférer mysql aléatoirement.

Essai de mettre une page toute conne mais qui utilise une base de donnée pour voir.

On dirait qu'un process boucle mais soit independant de ce qu'il y a dessus.....très bizarre.

 

[stream]

Tu peux nous dire quelle distri tu utilises ?
Et aussi celle de Mysql, Apache et si c'est recompilé en multi-thread ?

 

[remédien]

Je suis sur un dédié ovh avec l'option "sécurité totale" -> c'est donc du redhat . A priori tout est donc très à jour.
Sinon le support technique vient de me répondre : pas assez de mémoire qu'ils disent .... ben voyons .... ca c une réponse facile à apporter qui ne résoudra rien ....

B.

 

[stream]

Et si tu fais un top, la mémoire, elle est full ?

 

[remédien]

nan c'est vrai .... n'importe quoi le support ... suffit de regarder les mrtg en plus ... aucune saturation de mémoire ....

B.

 

[manitou]

T'as combien comme mémoire (pour info) ?
Cette réponse d'hébergeur est typique : sans chercher à comprendre ils veulent que tu prenne un dédié plus cher !!

Sinon les montées de charge se produisaient tous les combien de temps ?

 

[remédien]

128 Mo (l'offre de base du dédié ovh)
Les montées en charge sont très aléatoires .... souvent en soirée coup sur coup et parfois en journée.

B.

 

[stream]

Avec 128 Mo, il ne faut pas s'étoner !!!

 

[remédien]

Réponse d'ovh :

"
D'après notre service d'infogérance (et un adminsitrateur), la surcharge observée correspond au moment où la partition de swap a beaucoup été utilisée. Ceci est la raison des dysfonctionnement. Pour la cause, il faudrait regarder dans vos logs si votre machine n'a pas été suchargée volontairement.
"

Hummmmmm ... ben avec ca, suis bien avancé :-(

Y'a t'il une méthode optimale pour regarder les logs ? j'ai passé des heures à les regarder brut ... c rude :-(

Merci

B.

Ps : y'a t'il une contre indication a donner l'adresse de ses mrtg sys sur un forum ?

 

[Neptune]

laisse tomber le support d'ovh !!!

J'ais eu exactement le meme probleme , j'ais été voir ailleurs , pas d'autre solutions.

Mais reste a savoir si 128 meg ca serais pas un peu trop juste , pour infos chez sivit ils ont presque la meme offre que les superplan mais avec 256 meg de ram , ce qui fait une grosse difference quand meme !

Maintenant si tu te fait attaquer ca changera rien , mais si simplement tu as trop de visiteur ca t aidera

pour info avec +8 000 visiteurs ca ramais grave , je suis passé chez sivit avec 256 ram ca va deja beaucoup mieux.

 

[stream]

C clair que c'est n'importe quoi des dedies a 128 Mo

 

[remédien]

super nouvelle
Je viens de signer pour un an chez ovh sur les conseils d'un ami ;-) Je vais en changer
Bon ..... ben me voila bien .... Toute facon, nexen ct trop cher pour moi !

B.

 

[stream]

en plus, apparemment, tu n'as que 6 domaines sur cette machine

 

[remédien]

euh oui environ et que faut il en conclure ?

 

[stream]

rien de spécial, c'est pas beaucoup. Mais quoiqu'il en soit, un serveur avec 128 Mo, c'est pas jouable.

 

[remédien]

Ma machine est en surcharge en ce moment
que faut il tester ?

 

[stream]

En SSH, tapes : top

Et regardes la memory & le swap

 

[remédien]

5:26pm up 11 days, 9:23, 2 users, load average: 23,16, 24,89, 20,88
282 processes: 281 sleeping, 1 running, 0 zombie, 0 stopped
CPU states: 3,0% user, 3,9% system, 0,0% nice, 92,9% idle
Mem: 118296K av, 115328K used, 2968K free, 0K shrd, 1184K buff
Swap: 522104K av, 243628K used, 278476K free 19824K cached

 

[stream]

déjà 282 process, c vraiment pas normal.
Et la mémoire est au maxi.

 

[stream]

Dans le top, peux tu me dire si tu as beaucoup de pross mysql et si il y en a qui consomment beaucoup de mémoire

 

[remédien]

ca sent vraiment l'attaque non ?

 

[stream]

je pense pas

 

[stream]

La mémoire est au taquet, une seule solution : en rajouter !!!

 

[remédien]

euh on a googlebot (toujours la meme ip ) qui tape en masse sur le serveur là .... c quand même pas le crawl qui me flingue à chaque fois ????

 

[JeunZ]

Moi avant quand j'avais que 128 de ram je sentai les crawl ;-) Mais bon c'est pas forcément ça

 

[simpson]

Ton problème me fait plutôt penser à une boucle infinie provoquée par une erreur de redirection ou d'url_rewriting ...

 

[manitou]

Ce qui pourrait expliquer le côté aléatoire mais quel est alors le rapport avec mysql ?