Hallo,
ich habe seit einiger Zeit einen virtuellen Web-Server im Netz stehen. Konfiguriert mit ubuntu 18.04.5 LTS, apache 2.4.29 vor einer tomcat instanz, auf der eine Java-Anwenung läuft. Als firewall habe ich ufw im Einsatz.
Seit ein paar Tagen ist der Server unter Last und mein Monitoring hat gemeldet, dass er t.w. nicht mehr auf Anfragen reagiert. Ich habe mir dann die Logs angesehen und stelle fest, dass der Server eine hohe Anzahl von outbound Verbindugen herstellt. Sobald die apache2 Instanz gestartet wird, werden die Verbindungen erstellt. Wenn die Instanz unten ist, dann sehe ich auch nichts in den Logs.
Die Frage ist nun wie ich dahinter komme wo das Problem wirklich liegt. Ich habe die Apache Installation und Konfiguration geprüft und kann nicht erkennen wie und wo es zu den ausgehenden Anfragen kommt. Hat jemand eine Idee?
Besten Dank und abei schon mal ein Auszug aus dem TCPDUMP nach dem Start der apache-Instanz
Start des Apache (ufw-log)
15:32:00.652295 IP p57853f50.dip0.t-ipconnect.de.54289 > meinserver.hoster.net.ssh: Flags [.], ack 4285988736, win 1026, length 0 E..(..@.w. .W.?P...........^.v..P...R9..Z ...A 15:32:00.663560 IP 163-172-223-49.rev.poneytelecom.eu.53810 > meinserver.hoster.net.http: Flags [S], seq 528155377, win 64240, options [mss 1460,sackOK,TS val 3621447874 ecr 0,nop,wscale 7], length 0 E..<>.@.:.8....1.....2.P.{...........N......... ............ 15:32:00.663604 IP meinserver.hoster.net.http > 163-172-223-49.rev.poneytelecom.eu.53810: Flags [R.], seq 0, ack 528155378, win 0, length 0 E..(..@.@.q........1.P.2.....{..P....... 15:32:00.678695 IP meinserver.hoster.net.ssh > p57853f50.dip0.t-ipconnect.de.54289: Flags [P.], seq 1:145, ack 0, win 2581, length 144 E...IH@.@.......W.?P.....v.....^P. .............A]<m...y..@E*.....6.@.&B.....m...t<..m./1-.l.....P.94... .(+...Q..D*c....G-.........#N..DC.........9......N..I3.Y.t..6guG....^.....G5.}. 15:32:00.682696 IP 51-15-7-33.rev.poneytelecom.eu.60702 > meinserver.hoster.net.http: Flags [S], seq 88547021, win 64240, options [mss 1460,sackOK,TS val 1610805665 ecr 0,nop,wscale 7], length 0 E..<`.@.:.`.3..!.......P.G..........ib......... `........... 15:32:00.682776 IP meinserver.hoster.net.http > 51-15-7-33.rev.poneytelecom.eu.60702: Flags [R.], seq 0, ack 88547022, win 0, length 0 E..(..@.@..J....3..!.P.......G..P....... 15:32:00.710065 IP 51-15-11-109.rev.poneytelecom.eu.44278 > meinserver.hoster.net.http: Flags [S], seq 1738911556, win 64240, options [mss 1460,sackOK,TS val 2448200573 ecr 0,nop,wscale 7], length 0 E..<..@.:."M3..m.......Pg..D................... ...}........ 15:32:00.710128 IP meinserver.hoster.net.http > 51-15-11-109.rev.poneytelecom.eu.44278: Flags [R.], seq 0, ack 1738911557, win 0, length 0 E..(..@.@.......3..m.P......g..EP...f... 15:32:00.732928 IP 122.51.81.247.45508 > meinserver.hoster.net.ssh: Flags [P.], seq 1286366070:1286366122, ack 2180268123, win 262, options [nop,nop,TS val 3915624816 ecr 3972423120], length 52 Eh.h..@.2.9.z3Q.........L.cv..@[.....s..... .c.p..].... ...QPk O..h...I.MK..[...fg. ..w ...@Tk@.35..Yp.M
.. nach einer gewissen Zeit (rund 3000 zeilen im Log) ändert sich der Trace:
GET https://qg358.cn/index/games.do HTTP/1.1 Host: qg358.cn Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 user-agent: Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/57.0.2987.110 Safari/537.36 Accept-Encoding: gzip, deflate, br Accept-Language: zh-HK,zh;q=0.9,en;q=0.8,zh-CN;q=0.7,en-US;q=0.6 Cache-Control: max-age=0 Connection: keep-alive GET https://qg358.cn/index/games.do HTTP/1.1 Host: qg358.cn Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9 user-agent: Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/54.0.2840.59 Safari/537.36 Accept-Encoding: gzip, deflate, br Accept-Language: zh-HK,zh;q=0.9,en;q=0.8,zh-CN;q=0.7,en-US;q=0.6 Cache-Control: max-age=0 Connection: keep-alive
Und gelegentlich sieht man in dem Log auch mal folgendes (Infos über Schlüsselungsalgorithmen und Anbieter)?
15:32:03.742464 IP 78-128-121-56.asng.ddns.bulsat.com.60340 > meinserver.hoster.net.ssh: Flags [P.], seq 13:813, ack 42, win 256, length 800 E..H."@.{...N.y8........8ne+U.%UP...R....... ..~. ..GjC'.XYY.8...qcurve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group14-sha1...-ssh-rsa-cert-v01@openssh.com,ssh-dss-cert-v01@openssh.com,ecdsa-sha2-nistp256-cert-v01@openssh.com,ecdsa-sha2-nistp384-cert-v01@openssh.com,ecdsa-sha2-nistp521-cert-v01@openssh.com,ssh-ed25519-cert-v01@openssh.com,ecdsa-sha2-nistp256,ecdsa-sha2-nistp384,ecdsa-sha2-nistp521,ssh-rsa,ssh-dss,ssh-ed25519...Uaes128-gcm@openssh.com,chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr...Uaes128-gcm@openssh.com,chacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr...Bhmac-sha2-256-etm@openssh.com,hmac-sha2-256,hmac-sha1,hmac-sha1-96...Bhmac-sha2-256-etm@openssh.com,hmac-sha2-256,hmac-sha1,hmac-sha1-96....none....none.............W..}v..\. 15:32:03.742515 IP meinserver.hoster.net.ssh > 78-128-121-56.asng.ddns.bulsat.com.60340: Flags [P.], seq 42:1122, ack 813, win 501, length 1080 E..`6.@.@.......N.y8....U.%U8nhKP....a.....4....?..A..n}kh...0....curve25519-sha256,curve25519-sha256@libssh.org,ecdh-sha2-nistp256,ecdh-sha2-nistp384,ecdh-sha2-nistp521,diffie-hellman-group-exchange-sha256,diffie-hellman-group16-sha512,diffie-hellman-group18-sha512,diffie-hellman-group14-sha256,diffie-hellman-group14-sha1...Assh-rsa,rsa-sha2-512,rsa-sha2-256,ecdsa-sha2-nistp256,ssh-ed25519...lchacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com...lchacha20-poly1305@openssh.com,aes128-ctr,aes192-ctr,aes256-ctr,aes128-gcm@openssh.com,aes256-gcm@openssh.com....umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1....umac-64-etm@openssh.com,umac-128-etm@openssh.com,hmac-sha2-256-etm@openssh.com,hmac-sha2-512-etm@openssh.com,hmac-sha1-etm@openssh.com,umac-64@openssh.com,umac-128@openssh.com,hmac-sha2-256,hmac-sha2-512,hmac-sha1....none,zlib@openssh.com....none,zlib@openssh.com...................
Bearbeitet von sebix:
Bitte verwende in Zukunft Codeblöcke, um die Übersicht im Forum zu verbessern!