www.ProFTPD.de
13. März 2007, 20:04:33 *
Willkommen Gast. Bitte einloggen oder registrieren.
Haben Sie Ihre Aktivierungs E-Mail übersehen?

Einloggen mit Benutzername, Passwort und Sitzungslänge
News: SMF - Neu installiert!
 
   Übersicht   Hilfe Suche Login Registrieren  
Seiten: [1]   Nach unten
  Drucken  
Autor Thema: FTP Überlastungsproblematik  (Gelesen 373 mal)
0 Mitglieder und 1 Gast betrachten dieses Thema.
Benutzername
Gast
« am: 27. Juli 2005, 13:15:53 »

Hallo,

ich nutze die aktuelle proftpd 1.2.10 stable mit MySQL Support unter Debian und habe seit gestern das Problem, dass der gesamte Server mit Verbindungen zugemüllt wird.
Der FTP Server wird von vielen Usern gleichzeitig genutzt (ca. 50), aber der proftpd fährt mir total in die Begrenzung (1000 Benutzer von mir eingestellt) und habe somit eine Load Average von 1000  :roll:


Sie ca. so aus:

#45532    2955  0.0  0.3  3836 1872 ?        D    13:21   0:00 proftpd: xxx.xxx.xxx.xxx:33147: PASS (hidden)

und das bis zu 1000 mal. Sind diese 1000 User nicht erreicht, habe ich kein Problem - fast nicht - aber es geht wenigstens noch halbwegs performant.


Hat jemand eine Idee? Es wurde nichts verändert. In den Logs steht nichts.
Habe ein derartiges Problem bei proftpd noch nicht gesehn.

mfg thomas
Gespeichert
Benutzername
Gast
« Antwort #1 am: 27. Juli 2005, 13:18:06 »

So noch kurz eine Bemerkung, weil es mir gerade aufgefallen ist:

Gerade nach dem Posten sind alle Verbindungen, die die Form hatten, wie oben angegeben "verschwunden". Die Load sinkt wieder auf einen normalen Pegel.

Tut mir leid, wegen der etwas plumpen Beschreibung.

mfg thomas
Gespeichert
stonki
Administrator
ProFTPD
*****
Offline Offline

Beiträge: 1853


15318939
Profil anzeigen WWW E-Mail
« Antwort #2 am: 27. Juli 2005, 13:19:44 »

kann es sein, dass da jemand eine Attacke auf den Server gefahren hat ? Oder per Brute Force das Password knacken wollte ?
Gespeichert

www.stonki.de:    the more I see, the more I know.......
www.proftpd.de:   Deutsche ProFTPD Dokumentation
www.krename.net:  Der Batch Renamer für KDE
www.kbarcode.net: Die Barcode Solution für KDE
Benutername
Gast
« Antwort #3 am: 27. Juli 2005, 13:24:56 »

Hallo,

ich habe mir auch gedacht, dass es etwas in der Richtung ist. Der MySQL Server antwortet auf jeden Fall korrekt, also hierbei steht die Verbindung nicht.

Die Attacke muss, wenn ich das richtige sehe, so verlaufen, dass der Angreifer genau vor der Authentifizierung aufhört und dann die nächste Verbindung aufbaut.

Allerdings bin ich im Moment überfragt, wie ich das unterbinden könnte.
Gespeichert
Benutername
Gast
« Antwort #4 am: 27. Juli 2005, 13:35:58 »

Kann es sich um dieses Problem handeln?

http://securityfocus.com/bid/14381
Gespeichert
stonki
Administrator
ProFTPD
*****
Offline Offline

Beiträge: 1853


15318939
Profil anzeigen WWW E-Mail
« Antwort #5 am: 27. Juli 2005, 13:41:23 »

Zitat von: "Benutername"
Kann es sich um dieses Problem handeln?

http://securityfocus.com/bid/14381


nein, das hat damit nichts zu tun. Aber danke für den Hinweis, war mir noch garnicht aufgefallen. Schau Dir mal im Log an, ob die ganzen Anfragen alle von einer IP oder IP Block kamen. Ich würde einfach die max. Anzahl der Instanzen beschränken.

cu
stonki
Gespeichert

www.stonki.de:    the more I see, the more I know.......
www.proftpd.de:   Deutsche ProFTPD Dokumentation
www.krename.net:  Der Batch Renamer für KDE
www.kbarcode.net: Die Barcode Solution für KDE
Benutzername
Gast
« Antwort #6 am: 27. Juli 2005, 13:42:49 »

Hallo,

nein kommen von überall. Keine spezifischen IPs, Ranges, etc, dann hätte ich die bereits geblockt.

Logs haben keine Einträge.

mfg alex
Gespeichert
Benutzername
Gast
« Antwort #7 am: 27. Juli 2005, 13:47:27 »

(ich sollte mich registrieren, dann könnte ich auch editieren Smiley )

Was mir noch aufgefallen ist: Die Prozesse lassen sich weder mit "kill -n 9 PID" noch mit "killall proftpd" killen.

mfg alex
Gespeichert
stonki
Administrator
ProFTPD
*****
Offline Offline

Beiträge: 1853


15318939
Profil anzeigen WWW E-Mail
« Antwort #8 am: 27. Juli 2005, 13:55:08 »

Zitat von: "Benutzername"
(ich sollte mich registrieren, dann könnte ich auch editieren :) )

Was mir noch aufgefallen ist: Die Prozesse lassen sich weder mit "kill -n 9 PID" noch mit "killall proftpd" killen.

mfg alex


hmm. existieren die denn ueberhaupt noch ? Oder spinnt da was ?
pstree ? Sonst poste das problem mal auf www.proftpd.org. Da sitzt ja der entwickler..
Gespeichert

www.stonki.de:    the more I see, the more I know.......
www.proftpd.de:   Deutsche ProFTPD Dokumentation
www.krename.net:  Der Batch Renamer für KDE
www.kbarcode.net: Die Barcode Solution für KDE
Benutzername
Gast
« Antwort #9 am: 27. Juli 2005, 13:59:16 »

Danke nebenbei mal für deine schnelle Hilfe.

Die Prozesse waren noch aktiv, konnten aber nicht gekillt werden. Ist interessant.

Gerade eben habe ich auf die neue 1.3.0rc2 geupdated. Im Moment kann ich mal keinen Fehler sehen, ich beobachte es mal weiter.
Gespeichert
Seiten: [1]   Nach oben
  Drucken  
 
Gehe zu:  

Powered by MySQL Powered by PHP Powered by SMF 1.1.2 | SMF © 2006-2007, Simple Machines LLC Prüfe XHTML 1.0 Prüfe CSS
Seite erstellt in 0.06 Sekunden mit 19 Zugriffen.