Re: Wer macht meinen Server platt ?
Sven Mueller schrieb: Nö, 8000x8000 Zeichen, also ca. 64MB. Er schreibt im Report lediglich weiter, dass das _viel_ CPU kostet und nachdem er es zwei-drei Minuten lang in 25 parallelen Threads an einen Server geschickt habe (ohne Angabe der Bandbreite oder der Zahl der tatsächlich gesendeten Requests, also ohne Hinweis auf die tatsächlich übertragene Datenmenge), sei der Rechner vollständig belegt gewesen (und habe auch nichts mehr reagiert, inkl. SSH). Könnte das nicht vielleicht ein scripfehler sein , der dafür sorgt das bei einen bestimmten parallelen Threads aufkommen der Prozes zum stillstand kommt ? Also nichts mit 1,6GIGABYTe. Selbst bei 100MBit kann man in 3 Minuten real nicht ganz 1,5Gig übertragen. Und wenn der Rechner nach den 2-3 Minuten auf nichts mehr reagiert hat, wird er bereits vorher längst nicht mehr mit voller Bandbreite gearbeitet haben. Ich würde also eher auf insgesamt erheblich unter ein Gig tippen. cu, sven Mit freundlichen Grüßen Dirk Finkeldey
Re: Wer macht meinen Server platt ?
Joerg Rossdeutscher [u] wrote on 11/11/2004 22:33: Am Donnerstag, den 11.11.2004, 16:25 +0100 schrieb Sebastian Niehaus: Michelle Konzack [EMAIL PROTECTED] writes: Ohne mir Deine Logs angesehen zu haben, vielleicht ist es ja das: ,[ http://www.heise.de/newsticker/meldung/52932 ] | Im Apache-Webserver [1] 2.0.x wurde eine Schwachstelle entdeckt, mit | der Angreifer den Betrieb des Servers beeinträchtigen können. Nach | Angaben von Chintan Trivedi, Entdecker des Fehlers, reicht es aus, | kontinuierlich HTTP-GET-Anfragen mit überlangen Headern an den Server Ich bilde mir ein, den Report gelesen zu haben und daß es nötig sei, etwa 1,6 GIGABYTE an Leerzeichen zu schicken, um den Effekt auszulösen. Nö, 8000x8000 Zeichen, also ca. 64MB. Er schreibt im Report lediglich weiter, dass das _viel_ CPU kostet und nachdem er es zwei-drei Minuten lang in 25 parallelen Threads an einen Server geschickt habe (ohne Angabe der Bandbreite oder der Zahl der tatsächlich gesendeten Requests, also ohne Hinweis auf die tatsächlich übertragene Datenmenge), sei der Rechner vollständig belegt gewesen (und habe auch nichts mehr reagiert, inkl. SSH). Also nichts mit 1,6GIGABYTe. Selbst bei 100MBit kann man in 3 Minuten real nicht ganz 1,5Gig übertragen. Und wenn der Rechner nach den 2-3 Minuten auf nichts mehr reagiert hat, wird er bereits vorher längst nicht mehr mit voller Bandbreite gearbeitet haben. Ich würde also eher auf insgesamt erheblich unter ein Gig tippen. cu, sven -- Pinguine können ja bekanntlich nicht fliegen und stürzen deshalb auch nicht ab. RTL-Nachtjournal über Linux, 29.10.2004 -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wer macht meinen Server platt ?
Moin Michelle, seit Sonntag habe ich das Problem, das jemand einen meiner VirtualHosts plattbügelt. Er fabriziert nur noch 503 Errors nachdem ich mit einer Unzahl an 416 Errors gehämmert worden bin. Diese Person kommt über t-dialin.net mit wget 1.8.1. Jetzt habe ich erst mal nach http error 416 geGOOGLEd und den Link http://www.checkupdown.com/status/E416.html gefunden. Also ich habe von Bekannten aus meinen Webserver bereits stundenlang gehämmert und da ist nichts gecrashed oder ein Error 416 bzw 503 gekommen. also der wget-Request sieht für mich nicht unnormal aus... Zeig mal die letzten Eintäge des Logs, bevor der Fehler auftritt. Nach der Beschreibung im URL ist es also ein Client-Problem. Wie kann man das lösen ? Der VirtualHost ist http://music.tamay-dogan.homelinux.net/ und die Logs des Clients ist hier: http://admin.tamay-dogan.homelinux.net/throttle-status.html http://admin.tamay-dogan.homelinux.net/apache-log.txt Es ist keine Lösung, das ich den Server alle 30 Minuten restarten muß. Als erstes, Apache 1.x oder 2.x? Zeig mal die Konfig des VirtualHosts und welche Module geladen werden. Zeigt Dein error-Log irgendwas? Grüße Mathias -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wer macht meinen Server platt ?
Hallo Michelle, Am Donnerstag, 11. November 2004 10:12 schrieb Michelle Konzack: Nach der Beschreibung im URL ist es also ein Client-Problem. Ich habe dazu gefunden: 416: Requested Range Not Satisfiable The server detected a range header that contained no valid values for the target. In addition, an IF-Range header was omitted. Wenn ich das richtig verstehe, dann wird damit eine Anzahl Pakete von...bis angefordert, die aber nicht existiert. Wie kann man das lösen ? Ich bin nun nicht der Kenner, habe aber die Vermutung, daß sich sowas eventuell durch eine Änderung der httpd.conf lösen läßt. Ob ErrorDocument etwas bringt? Damit könnte man mit ErrorDocument 416 http://xxx.yy.zz auf eine andere Website umlenken oder mit ErrorDocument 416 filename unter Umständen irgendetwas (vielleicht sogar ein passendes Script?) starten. Dann gibt es im Modul mod_headers noch die Header-Anweisung, mit der man http-Antwort-Header manipulieren kann. Vielleicht kann so dem Requester irgendwie das Maul gestopft werden? Nur ein paar Ideen, leider. Aber vielleicht führen sie Dich ja zu irgendeiner Lösung. Gruß von heimo -- Heimo Ponnath Webdesign, Rotenhäuserstr. 51, 21109 Hamburg Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/
Re: Wer macht meinen Server platt ?
Hallo Mathias, Am 2004-11-11 11:17:14, schrieb Mathias Tauber: Moin Michelle, also der wget-Request sieht für mich nicht unnormal aus... Die Frage ist, warum wget so komische Requests macht... Das sind Partial-Requests auf Directories... Zeig mal die letzten Eintäge des Logs, bevor der Fehler auftritt. siehe apache-log.txt unten Am Anfang 200er, dann 416er und danach 503er. Habe seit heute früh eine Error-Log von über 8 MByte zusammengebracht http://admin.tamay-dogan.homelinux.net/throttle-status.html http://admin.tamay-dogan.homelinux.net/apache-log.txt Es ist keine Lösung, das ich den Server alle 30 Minuten restarten muß. Als erstes, Apache 1.x oder 2.x? Zeig mal die Konfig des VirtualHosts und welche Module geladen werden. Zeigt Dein error-Log irgendwas? Hier ein Ausschnitt: [Thu Nov 11 06:12:26 2004] [error] [client 66.249.64.181] File does not exist: /home/PUBLIC_HTTP/music/robots.txt [Thu Nov 11 08:21:16 2004] [error] [client 217.84.153.222] File does not exist: /home/PUBLIC_HTTP/music/robots.txt [Thu Nov 11 08:21:22 2004] [error] [client 217.84.153.222] File does not exist: /home/PUBLIC_HTTP/music/robots.txt [Thu Nov 11 09:07:37 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=2563 too large [Thu Nov 11 09:07:43 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=2553 too large [Thu Nov 11 09:07:50 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=2543 too large [Thu Nov 11 09:07:56 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=2533 too large [Thu Nov 11 09:08:03 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=2523 too large [Thu Nov 11 09:08:10 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=2513 too large [Thu Nov 11 09:08:17 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=2503 too large [Thu Nov 11 09:08:24 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=2493 too large ... [Thu Nov 11 09:17:30 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=36671 too large [Thu Nov 11 09:17:30 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=36661 too large [Thu Nov 11 09:17:30 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=36651 too large [Thu Nov 11 09:18:24 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=36641 too large [Thu Nov 11 09:19:12 2004] [warn] [client 80.67.172.1] / delay=53065 too large [Thu Nov 11 09:26:36 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=36631 too large [Thu Nov 11 09:37:09 2004] [warn] [client 217.23.164.27] / delay=53055 too large [Thu Nov 11 09:38:51 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=36621 too large [Thu Nov 11 09:52:16 2004] [warn] [client 217.23.164.27] / delay=53045 too large [Thu Nov 11 09:53:46 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=36611 too large [Thu Nov 11 10:08:17 2004] [warn] [client 217.23.164.27] / delay=53035 too large [Thu Nov 11 10:15:46 2004] [warn] [client 212.87.142.240] / delay=53025 too large [Thu Nov 11 10:15:46 2004] [warn] [client 212.87.142.240] / delay=53015 too large [Thu Nov 11 10:16:31 2004] [warn] [client 80.67.172.1] / delay=53005 too large [Thu Nov 11 10:19:28 2004] [warn] [client 217.234.67.252] / delay=52995 too large [Thu Nov 11 10:19:29 2004] [warn] [client 217.234.67.252] / delay=52985 too large [Thu Nov 11 10:21:43 2004] [warn] [client 217.6.162.68] / delay=52975 too large [Thu Nov 11 10:21:44 2004] [warn] [client 217.6.162.68] / delay=52965 too large [Thu Nov 11 10:22:26 2004] [warn] [client 83.129.58.6] / delay=52955 too large [Thu Nov 11 10:22:27 2004] [warn] [client 83.129.58.6] / delay=52945 too large [Thu Nov 11 10:23:12 2004] [warn] [client 217.234.67.252] / delay=52935 too large [Thu Nov 11 10:26:15 2004] [warn] [client 80.67.172.1] / delay=52925 too large [Thu Nov 11 10:26:29 2004] [warn] [client 217.23.164.27] / delay=52915 too large [Thu Nov 11 10:30:32 2004] [warn] [client 217.84.153.222] throttle-client-ip delay=36601 too large [Thu Nov 11 10:39:57 2004] [warn] [client 80.67.172.1] / delay=52905 too large [Thu Nov 11 10:39:58 2004] [warn] [client 213.39.229.67] / delay=52895 too large [Thu Nov 11 10:40:01 2004] [warn] [client 213.39.229.67] / delay=52885 too large [Thu Nov 11 10:43:52 2004] [warn] [client 195.158.147.72] / delay=52875 too large [Thu Nov 11 10:43:53 2004] [warn] [client 195.158.147.72] / delay=52865 too large [Thu Nov 11 10:44:48 2004] [warn] [client 217.23.164.27] / delay=52855 too large [Thu Nov 11 10:45:11 2004] [warn] [client 80.67.172.1] / delay=52845 too large [Thu Nov 11 10:50:14 2004] [warn] [client 80.67.172.1] / delay=52835 too large [Thu Nov 11 10:50:22 2004] [warn] [client 217.84.225.168] / delay=52825 too large [Thu Nov 11 10:50:27 2004] [warn] [client 217.84.225.168] / delay=52815 too large [Thu Nov 11 10:55:17 2004] [warn] [client 80.67.172.1] / delay=52805 too large [Thu Nov 11 10:56:49 2004] [warn] [client
Re: Wer macht meinen Server platt ?
Hallo Heimo, Am 2004-11-11 13:58:25, schrieb Heimo Ponnath: Hallo Michelle, Am Donnerstag, 11. November 2004 10:12 schrieb Michelle Konzack: Nach der Beschreibung im URL ist es also ein Client-Problem. Ich habe dazu gefunden: 416: Requested Range Not Satisfiable The server detected a range header that contained no valid values for the target. In addition, an IF-Range header was omitted. Wenn ich das richtig verstehe, dann wird damit eine Anzahl Pakete von...bis angefordert, die aber nicht existiert. Neee, es ist nicht die Anzahl, sondern die Größe BEISPIEL: Auf dem Server liegt eine Date die 1000 Bytes groß ist und der Client wil die Datei mit einem bereich von 1500-2000 runterladen. Das geht natürlich nicht, weil die Datei kleiner ist. Sieht so aus, als denkt wget 1.8.1, das die Datei gößer ist und versucht eine partialrequest was normalerweise einen 206 error hervorruft, nur ist die Datei ebend kleiner als das gewünschte. Wie kann man das lösen ? Ich bin nun nicht der Kenner, habe aber die Vermutung, daß sich sowas eventuell durch eine Änderung der httpd.conf lösen läßt. Ob ErrorDocument etwas bringt? Damit könnte man mit Wie sollte es ? Du kannst ja bei einem 503 er nicht mehr auf den Server zugreifen. Das hat nichts mit den Fehlermeldungen zu tun. Dann gibt es im Modul mod_headers noch die Header-Anweisung, mit der man http-Antwort-Header manipulieren kann. Vielleicht kann so dem Requester irgendwie das Maul gestopft werden? Naja, mir währe es lieber, wenn die Requester das respektieren würden, was auf der Webseite steht. als 'wget -c -limit-rate=8' oder so. Gruß von heimo Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Wer macht meinen Server platt ?
Michelle Konzack [EMAIL PROTECTED] writes: seit Sonntag habe ich das Problem, das jemand einen meiner VirtualHosts plattbügelt. Er fabriziert nur noch 503 Errors nachdem ich mit einer Unzahl an 416 Errors gehämmert worden bin. Ohne mir Deine Logs angesehen zu haben, vielleicht ist es ja das: ,[ http://www.heise.de/newsticker/meldung/52932 ] | Im Apache-Webserver [1] 2.0.x wurde eine Schwachstelle entdeckt, mit | der Angreifer den Betrieb des Servers beeinträchtigen können. Nach | Angaben von Chintan Trivedi, Entdecker des Fehlers, reicht es aus, | kontinuierlich HTTP-GET-Anfragen mit überlangen Headern an den Server | zu senden, die nur aus Leerzeichen bestehen. In der Folge würde der | Apache die Prozessorlast des Systems stark erhöhen und nicht mehr | antworten. | | Nach dem Ende der Attacke soll der Server aber wieder normal | weiterarbeiten, ein Reboot ist nicht notwendig. Einen | Proof-of-Concept-Exploit hat Trivedi seinem Advisory auf der | Mailingliste Full Disclosure beigefügt. Die Apache Foundation hat den | Fehler für die aktuelle Linux-Version 2.0.52 und vorhergehende | Versionen bestätigt, zunächst aber nur in der Entwicklerversion | 2.0.53-dev beseitigt. | | Siehe dazu auch: | | * DoS in Apache 2.0.52 [2] von Chintan Trivedi | | (dab [3]/c't) | | | Links: | [1] http://httpd.apache.org/ | [2] http://lists.netsys.com/pipermail/full-disclosure/2004-November/028248.html | [3] mailto:[EMAIL PROTECTED] ` -- Haeufig gestellte Fragen und Antworten (FAQ): http://www.de.debian.org/debian-user-german-FAQ/ Zum AUSTRAGEN schicken Sie eine Mail an [EMAIL PROTECTED] mit dem Subject unsubscribe. Probleme? Mail an [EMAIL PROTECTED] (engl)
Re: Wer macht meinen Server platt ?
Hallo Sebastian, Am Donnerstag, 11. November 2004 16:25 schrieb Sebastian Niehaus: Ohne mir Deine Logs angesehen zu haben, vielleicht ist es ja das: ,[ http://www.heise.de/newsticker/meldung/52932 ] | Im Apache-Webserver [1] 2.0.x wurde eine Schwachstelle entdeckt Michelles Server meldet sich als Apache 1.3.26. das wirds daher wohl nicht sein. Aber ich bin mit meinem (zugegeben recht geringem) Latein da auch am Ende. Vielleicht gibts ja eine apache-Liste, die da mehr Wissen parat hat oder Du versuchst es mal auf der iw-tec-Liste von Lutz Badenheuer: To subscribe to the list, send a message to: [EMAIL PROTECTED] Gruß von Heimo -- Heimo Ponnath Webdesign, Rotenhäuserstr. 51, 21109 Hamburg Tel: 040-753 47 95,Fax: 040-752 68 03, http://www.heimo.de/
Re: Wer macht meinen Server platt ?
Am 2004-11-11 16:25:02, schrieb Sebastian Niehaus: Ohne mir Deine Logs angesehen zu haben, vielleicht ist es ja das: ,[ http://www.heise.de/newsticker/meldung/52932 ] | Im Apache-Webserver [1] 2.0.x wurde eine Schwachstelle entdeckt, mit ^ Ich verwende WOODY und apache 1.3 | der Angreifer den Betrieb des Servers beeinträchtigen können. Nach | Angaben von Chintan Trivedi, Entdecker des Fehlers, reicht es aus, | kontinuierlich HTTP-GET-Anfragen mit überlangen Headern an den Server | zu senden, die nur aus Leerzeichen bestehen. In der Folge würde der | Apache die Prozessorlast des Systems stark erhöhen und nicht mehr | antworten. Das ist richtig, aber dann ist der gesamte Server platt... Bei mir ist es nur ein einziger VirtualHost von 168. Ich habe das komische Gefühl, das es ein BUG in mod_throttle ist. Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Wer macht meinen Server platt ?
Am Donnerstag, den 11.11.2004, 16:25 +0100 schrieb Sebastian Niehaus: Michelle Konzack [EMAIL PROTECTED] writes: Ohne mir Deine Logs angesehen zu haben, vielleicht ist es ja das: ,[ http://www.heise.de/newsticker/meldung/52932 ] | Im Apache-Webserver [1] 2.0.x wurde eine Schwachstelle entdeckt, mit | der Angreifer den Betrieb des Servers beeinträchtigen können. Nach | Angaben von Chintan Trivedi, Entdecker des Fehlers, reicht es aus, | kontinuierlich HTTP-GET-Anfragen mit überlangen Headern an den Server | zu senden, die nur aus Leerzeichen bestehen. In der Folge würde der | Apache die Prozessorlast des Systems stark erhöhen und nicht mehr | antworten. Ich bilde mir ein, den Report gelesen zu haben und daß es nötig sei, etwa 1,6 GIGABYTE an Leerzeichen zu schicken, um den Effekt auszulösen. Also eher nur theoretisch ein echtes Problem. Gruß, Ratti -- -o) fontlinge | Fontmanagement for Linux | Schriftenverwaltung in Linux /\\ http://freshmeat.net/projects/fontlinge/ _\_V http://www.gesindel.de https://sourceforge.net/projects/fontlinge/ signature.asc Description: Dies ist ein digital signierter Nachrichtenteil
Re: Wer macht meinen Server platt ?
Am 2004-11-11 22:33:53, schrieb Joerg Rossdeutscher: Ich bilde mir ein, den Report gelesen zu haben und daß es nötig sei, etwa 1,6 GIGABYTE an Leerzeichen zu schicken, um den Effekt auszulösen. Oij... Wie macht man so nen header ? Also eher nur theoretisch ein echtes Problem. Gruß, Ratti Greetings Michelle -- Linux-User #280138 with the Linux Counter, http://counter.li.org/ Michelle Konzack Apt. 917 ICQ #328449886 50, rue de Soultz MSM LinuxMichi 0033/3/8845235667100 Strasbourg/France IRC #Debian (irc.icq.com) signature.pgp Description: Digital signature
Re: Wer macht meinen Server platt ?
Michelle Konzack wrote: Wenn ich das jetzt alles richtig mitbekommen hab, hast Du das Problem, dass sehr viele 503 und 416 Fehler in Folge auftreten. Und Du hast mod_throttle im Einsatz um die Bandbreite pro Client zu begrenzen, richtig? Dann ist es doch normal, dass wenn ein Client mehr Bandbreite beansprucht mod_throttle mit einem 503 Fehler das quittiert und 'service unavailable' ausgibt. Hat der Client dann etwas in der Art wie httrack am Laufen versucht der natrlich weiter Daten zu bekommen und nutzt 200 Threads dann wird's schnell ganz viel im Log.. Die 416 knnten dann ebenfalls angefragte Teile sein, die nicht mehr abgeschlossen werden knnen weil das Limit erreicht worden ist - aber dazu kenne ich mod_throttle zu wenig um da was sagen zu knnen. Naja, mir whre es lieber, wenn die Requester das respektieren wrden, was auf der Webseite steht. als 'wget -c -limit-rate=8' oder so. Aber wer tut das schon, wenn es darum geht Musik zu saugen? Eines habe ich in meiner Admin-Ttigkeit gelernt: gibt etwas frei und es findet sich mindestens ein Dutzend Leute die das misbrauchen werden - und Du kannst da hinschreiben was Du willst. Denn wenn alle das Limit beachten wrden, bruchtest Du mod_throttle nicht, richtig? :-) Ansonsten kannst Du natrlich auch einfach den gesamten ausgehenden Traffic limitieren, evtl. mit shaper oder trickle (mit letzterem limitiere ich meine rsync Prozesse). Cheers, Jan signature.asc Description: OpenPGP digital signature
