FTP Überlastungsproblematik

[Benutzername]

Hallo,

ich nutze die aktuelle proftpd 1.2.10 stable mit MySQL Support unter Debian und habe seit gestern das Problem, dass der gesamte Server mit Verbindungen zugemüllt wird.
Der FTP Server wird von vielen Usern gleichzeitig genutzt (ca. 50), aber der proftpd fährt mir total in die Begrenzung (1000 Benutzer von mir eingestellt) und habe somit eine Load Average von 1000  :roll:


Sie ca. so aus:

#45532    2955  0.0  0.3  3836 1872 ?        D    13:21   0:00 proftpd: xxx.xxx.xxx.xxx:33147: PASS (hidden)

und das bis zu 1000 mal. Sind diese 1000 User nicht erreicht, habe ich kein Problem - fast nicht - aber es geht wenigstens noch halbwegs performant.


Hat jemand eine Idee? Es wurde nichts verändert. In den Logs steht nichts.
Habe ein derartiges Problem bei proftpd noch nicht gesehn.

mfg thomas

[Benutzername]

So noch kurz eine Bemerkung, weil es mir gerade aufgefallen ist:

Gerade nach dem Posten sind alle Verbindungen, die die Form hatten, wie oben angegeben "verschwunden". Die Load sinkt wieder auf einen normalen Pegel.

Tut mir leid, wegen der etwas plumpen Beschreibung.

mfg thomas

[stonki]

kann es sein, dass da jemand eine Attacke auf den Server gefahren hat ? Oder per Brute Force das Password knacken wollte ?

[Benutername]

Hallo,

ich habe mir auch gedacht, dass es etwas in der Richtung ist. Der MySQL Server antwortet auf jeden Fall korrekt, also hierbei steht die Verbindung nicht.

Die Attacke muss, wenn ich das richtige sehe, so verlaufen, dass der Angreifer genau vor der Authentifizierung aufhört und dann die nächste Verbindung aufbaut.

Allerdings bin ich im Moment überfragt, wie ich das unterbinden könnte.

[Benutername]

Kann es sich um dieses Problem handeln?

http://securityfocus.com/bid/14381

[stonki]

Kann es sich um dieses Problem handeln?

http://securityfocus.com/bid/14381

nein, das hat damit nichts zu tun. Aber danke für den Hinweis, war mir noch garnicht aufgefallen. Schau Dir mal im Log an, ob die ganzen Anfragen alle von einer IP oder IP Block kamen. Ich würde einfach die max. Anzahl der Instanzen beschränken.

cu
stonki

[Benutzername]

Hallo,

nein kommen von überall. Keine spezifischen IPs, Ranges, etc, dann hätte ich die bereits geblockt.

Logs haben keine Einträge.

mfg alex

[Benutzername]

(ich sollte mich registrieren, dann könnte ich auch editieren )

Was mir noch aufgefallen ist: Die Prozesse lassen sich weder mit "kill -n 9 PID" noch mit "killall proftpd" killen.

mfg alex

[stonki]

(ich sollte mich registrieren, dann könnte ich auch editieren :) )

Was mir noch aufgefallen ist: Die Prozesse lassen sich weder mit "kill -n 9 PID" noch mit "killall proftpd" killen.

mfg alex

hmm. existieren die denn ueberhaupt noch ? Oder spinnt da was ?
pstree ? Sonst poste das problem mal auf www.proftpd.org. Da sitzt ja der entwickler..

[Benutzername]

Danke nebenbei mal für deine schnelle Hilfe.

Die Prozesse waren noch aktiv, konnten aber nicht gekillt werden. Ist interessant.

Gerade eben habe ich auf die neue 1.3.0rc2 geupdated. Im Moment kann ich mal keinen Fehler sehen, ich beobachte es mal weiter.