© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Salü Oli
Auch dir ein grosses Dankeschön für die Hilfe :-))
> > Warum er diese Meldung bringt, ist mir auch nicht klar:
> >
> > Apr 2 15:40:00 matrix /kernel: arp: 00:06:b1:xx:xx:xx is
> using my IP address 62.2.113.168!
>
> Was ist daran nicht klar? Die Meldung sagt doch eigentlich
> alles. In Deinem Subnetz ist ein Rechner (mit der angege-
> benen MAC-Adresse), der versucht, Deine IP zu benutzen.
> Entweder ist da ein falsch konfigurierter Rechner in Deinem
> Netz, oder _Dein_ Rechner ist falsch konfiguriert, oder
> jemand in Deinem Subnetzt versucht sich mit IP-Spoofing.
>
> > Mein Provider und ich haben zu dieser Zeit kein Gerät
> > in betrieb genommen wo wir hätten die gleiche ip
> > brauchen koennen.
>
> Aber offenbar _war_ so ein Gerät in Betrieb -- anders wäre
> die Meldung nicht zu erklären.
Doch eben so klar dass ich nichts damit anfangen kann.
Ich leg meine hand ins feuer dass mein provider nichts
gebastelt hat (ist meine ex bude) und ich auch ganz
sicher nicht. Ich hab ne Bridge als Firewall, könnte
das was damit zu tun haben?... Eine Attacke könnte es
ja nicht sein da dieser nicht im gleichen netz ist,
oder?....
> Bist Du sicher, daß zu dem jeweiligen Zeitpunkt ein Apache
> lief? Denkbar wäre auch, daß zu dem jeweiligen Zeitpunkt ein
> DoS-Angriff lief und Dein Aapache vielleicht wegen
> Überlastung keine Verbindung mehr annehmen konnte. Aber das
> ist jetzt nur reine Spekulation.
Würde sagen ja und dann währen doch mmer die gleichen ip's
geloggt, oder?... Sind immer andere....und auch solche nicht
aus europa was mit unsere site nicht viel anfangen können..
würd ich mal meinen :-)
> Wenn FreeBSD keinen physikalischen Speicher (also RAM +
> Swap) mehr alloziieren kann, wird als Notfallmaßnahme der
> größte Prozeß gekillt. (Man kann sich streiten, ob das
> sinnvoll ist, aber die Alternative wäre ein erzwungener
> Reboot, was auch nicht toll ist.) In Deinem Fall war das das mysql.
Einleuchtend...
> Möglichkeit 1:
> Aus irgendeinem Grund hatte sich Dein mysql-Prozeß offenbar
> soweit aufgebläht, daß er allen zur Verfügung stehenden
> Speicher aufgebraucht hat. Dies kann Folge eines DoS-An-
> griffs sein, oder Folge einer Fehlkonfiguration von mysql,
> oder beides. Überprüfe Deine Konfiguration, und stelle
> sicher, daß Du keine Software mit bekannten Schwachstellen einsetzt.
Wie gesagt, der server lief 378 Tage ununterbrochen.
Okay, die last stieg aber trotzdem nicht so. Wie möchte
einer eine DoS Attacke fahren, wenn er den MySQL nicht
direkt erreicht?. Port 3306 ist geschlossen und der apache
(php) ist der einzige der dort einträge in die db macht.
Wie kann sowas gehen, script?.. Dann währen doch aber
einträge in der DB im überfluss, oder?...
> Möglichkeit 2 (wahrscheinlicher):
> Es wurden so viele Apache-Prozesse gestartet, daß kein
> phsyikalischer Speicher mehr frei war. (Gekillt wurden aber
> trotzdem die mysql-Prozesse, da diese größer waren.) Das ist
> ganz klar Folge einer Fehlkonfiguration. Du solltest
> unbedingt Deine Apache-Konfiguration überprüfen und die
> Anzahl der maximalen Child-Prozesse herabsetzen. Außerdem
> solltest Du die Prozeß-Limits für den User, unter dem Dein
> Apache läuft (wohl UID 80), geeigent einstellen, so daß
> dieser gar nicht erst so viele System-Resourcen verbrauchen
> kann (Speicher und Anzahl Prozesse).
Childs, hab ich nun mal, was ich so gelesen habe, auf
empfohlene 50 gesetzt. Ist dies in Ordnung?...
Wie muss ich dies berechnen?...
Kannst du mir noch nen kleinen Tipp geben wo ich suchen
muss um prozesse für einen user zu limitieren?
> Das sieht nach einem Angriff aus. Prüfe Deine Apache-
> Version.
>
Mach ich :-)
> Das sagt ja bereits alles (ist außerdem eine FAQ).
> Die genannte manpage hast Du sicherlich schon gelesen.
> »netstat -m« sagt Dir die aktuelle Belegung; der Peak-Wert
> sollte nie in die Nähe des Max-Wertes geraten.
Aber dies passierte nur weill der apache bzw. mysql prozess
so aufgeblasen wurde, oder?.
Was für einen Wert würdest du empfehlen?... 4096 ?
Danke viel vielmals für deine Hilfe
Gruss Hannes
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Wed 14 Apr 2004 - 14:13:58 CEST