www.ProFTPD.de

ProFTPD => ProFTPD - Deutsch => Thema gestartet von: Benutzername am 27. Juli 2005, 13:15:53



Titel: FTP Überlastungsproblematik
Beitrag von: Benutzername am 27. Juli 2005, 13:15:53
Hallo,

ich nutze die aktuelle proftpd 1.2.10 stable mit MySQL Support unter Debian und habe seit gestern das Problem, dass der gesamte Server mit Verbindungen zugemüllt wird.
Der FTP Server wird von vielen Usern gleichzeitig genutzt (ca. 50), aber der proftpd fährt mir total in die Begrenzung (1000 Benutzer von mir eingestellt) und habe somit eine Load Average von 1000  :roll:


Sie ca. so aus:

#45532    2955  0.0  0.3  3836 1872 ?        D    13:21   0:00 proftpd: xxx.xxx.xxx.xxx:33147: PASS (hidden)

und das bis zu 1000 mal. Sind diese 1000 User nicht erreicht, habe ich kein Problem - fast nicht - aber es geht wenigstens noch halbwegs performant.


Hat jemand eine Idee? Es wurde nichts verändert. In den Logs steht nichts.
Habe ein derartiges Problem bei proftpd noch nicht gesehn.

mfg thomas


Titel: FTP Überlastungsproblematik
Beitrag von: Benutzername am 27. Juli 2005, 13:18:06
So noch kurz eine Bemerkung, weil es mir gerade aufgefallen ist:

Gerade nach dem Posten sind alle Verbindungen, die die Form hatten, wie oben angegeben "verschwunden". Die Load sinkt wieder auf einen normalen Pegel.

Tut mir leid, wegen der etwas plumpen Beschreibung.

mfg thomas


Titel: FTP Überlastungsproblematik
Beitrag von: stonki am 27. Juli 2005, 13:19:44
kann es sein, dass da jemand eine Attacke auf den Server gefahren hat ? Oder per Brute Force das Password knacken wollte ?


Titel: FTP Überlastungsproblematik
Beitrag von: Benutername am 27. Juli 2005, 13:24:56
Hallo,

ich habe mir auch gedacht, dass es etwas in der Richtung ist. Der MySQL Server antwortet auf jeden Fall korrekt, also hierbei steht die Verbindung nicht.

Die Attacke muss, wenn ich das richtige sehe, so verlaufen, dass der Angreifer genau vor der Authentifizierung aufhört und dann die nächste Verbindung aufbaut.

Allerdings bin ich im Moment überfragt, wie ich das unterbinden könnte.


Titel: FTP Überlastungsproblematik
Beitrag von: Benutername am 27. Juli 2005, 13:35:58
Kann es sich um dieses Problem handeln?

http://securityfocus.com/bid/14381


Titel: FTP Überlastungsproblematik
Beitrag von: stonki am 27. Juli 2005, 13:41:23
Zitat von: "Benutername"
Kann es sich um dieses Problem handeln?

http://securityfocus.com/bid/14381


nein, das hat damit nichts zu tun. Aber danke für den Hinweis, war mir noch garnicht aufgefallen. Schau Dir mal im Log an, ob die ganzen Anfragen alle von einer IP oder IP Block kamen. Ich würde einfach die max. Anzahl der Instanzen beschränken.

cu
stonki


Titel: FTP Überlastungsproblematik
Beitrag von: Benutzername am 27. Juli 2005, 13:42:49
Hallo,

nein kommen von überall. Keine spezifischen IPs, Ranges, etc, dann hätte ich die bereits geblockt.

Logs haben keine Einträge.

mfg alex


Titel: FTP Überlastungsproblematik
Beitrag von: Benutzername am 27. Juli 2005, 13:47:27
(ich sollte mich registrieren, dann könnte ich auch editieren :) )

Was mir noch aufgefallen ist: Die Prozesse lassen sich weder mit "kill -n 9 PID" noch mit "killall proftpd" killen.

mfg alex


Titel: FTP Überlastungsproblematik
Beitrag von: stonki am 27. Juli 2005, 13:55:08
Zitat von: "Benutzername"
(ich sollte mich registrieren, dann könnte ich auch editieren :) )

Was mir noch aufgefallen ist: Die Prozesse lassen sich weder mit "kill -n 9 PID" noch mit "killall proftpd" killen.

mfg alex


hmm. existieren die denn ueberhaupt noch ? Oder spinnt da was ?
pstree ? Sonst poste das problem mal auf www.proftpd.org. Da sitzt ja der entwickler..


Titel: FTP Überlastungsproblematik
Beitrag von: Benutzername am 27. Juli 2005, 13:59:16
Danke nebenbei mal für deine schnelle Hilfe.

Die Prozesse waren noch aktiv, konnten aber nicht gekillt werden. Ist interessant.

Gerade eben habe ich auf die neue 1.3.0rc2 geupdated. Im Moment kann ich mal keinen Fehler sehen, ich beobachte es mal weiter.