Server, Bilder und weshalb die net gehen...

[Migi]

Ich bin n ganz kleines bisschen sauer...vielleicht auch ein etwas grössers bisschen...

Da läuft mein Server also plötzlich langsam wie nix anders und hat plötzlich Belastungen von 600 % wenns sonst so im maximalsten Fall um die 140 % waren. Normal ists so bei 30 - 40 %...

Hab also mal geschaut wo das Problem liegen könnte, weil von nix kommt das net. Mein Forum wars net. Ich dachte erst, das könnte es sein, da da ziemlich viel läuft in letzter Zeit. Habs also offline genommen. Der Server hat un also Platz für mehr Connections...Tja, das hat er gemerkt...Nun ist die Belastung auf über 4000 % gestiegen...

Hab mal die Error Logs angeschaut. Da sind aber nur Fehler auf fehlende Dateien drin, das ist nix abnormales. Wenn jemand n Zugriff versucht auf ne Datei dies net gibt und das über ne Subdomain oder AddOn-Domain geschieht, so gibt der Server ne Fehlermeldung aus bzw. träg sie ins Log File ein. Sonst ist dort nix. Der Server läuft also ohne Fehler.

Dann schau ich mir die Logs über die aufgerufenen Datein an...Interessant was ich da sehe...sehr interessant. Immer wieder taucht das Verzeichnis "alpinforum" auf. Hab mir das mal genauer angesehen...

Irgendjemand versucht andauernd und immer gleich merhmals pro Sekunde (immer die selbe IP) die selbe Datei aufzurufen. Das geschieht ganz wahllos einfach innerhalb des Verzeichnis "alpinforum" wo alle Bilder des Forums liegen...Kein Mensch ist fähig 20 Mal pro Sekunde eine Seite neu zu laden. So schnell klickt niemand...die Refresh-Verzögerung mal net beachtet. Ist also net n Mensch der das verursacht. Aber was dann? N Endlosscript ists. Und findet das auf dem Server irgendwo noch freie Connections, so schnappt es sich die sofort und greift x-mal in der Sekunde und x-mal nacheinander auf die selbe Datei zu. Logisch wird dadurch der Server überlastet.

Das ist aber net alles...Im Verzeichnis "alpinforum" lagern versteckte Dateien und Ordner, die über FTP net einsehbar sind. Auch der Index über den Browser zeigt da nix von an. Aber der Server selbst dann eben schon...Sind drei Ordner...Die waren noch net ewig versteckt...Einen gabs kurz mal zwei Mal, das hab ich mal gesehn, aber hab mich da net so drum gesorgt, ist ja auch net weiter tragisch. Und dann ist der nun plötzlich nur noch einmal da, aber versteckt. Das macht der Server net von alleine. Er lädt von selbst auch keine htaccess-Dateien in ein Unterverzeichnis auf dem Server (im Root ist klar, dass er automatisch eine erstellt, damit der Server überhaupt funzt, aber in nem Unterverzeichnis macht er das net). Nun hab ich aber unter "alpinforum" eine htaccess-Datei gefunden, aber nur da, und in sonst keinem Unterverzeichnis...Und vorallem hatte die n komischen Dateinamen...Udn vorallem regelte er den Zugriff auf das Verzeichnis "alpinforum"...Tja, logisch könnt ihr dann keine oder nur kleine Bilder hochladen. Sonst kommt "Aktion abgebrochen", da gar keine Verbindung aufgebaut wird bzw. diese eben net erlaubt wird...

Ist aber net alles. Die registrierte Datenmenge im Verzeichnis "alpinforum" ist innert weniger Tage von 300 MB auf über 400 MB gestiegen...Es stehen aber gar net soviele Daten im Verzeichnis bzw. es werden net soviele Daten angezeigt...Es lassen sich daten entsprechend verstecken, dass da überhaupt niemand mehr was von sieht. Auch net der Server-Administrator...

Ich will hier niemanden konkret verdächtigen, aber so von alleine geschieht das net...

Fürs Endlosscript könnt ich nun nachschauen wo die IP hinführt bzw. wem sie gehört...Ich bin aber eigentlich net der, der anderen nachschnüffelt und hab so die IP noch net angeschaut. Somit geb ich, falls es denn der Fall sein sollte, der Person die solche Dinge tut um halt einfach den Server lahmzulegen die Möglichkeit sich direkt bei mir zu melden und das zu klären. Anzeige erstatte ich deshalb net, aber die Beweismittel sind gesichert.

Also, wenn da jemand Unfug treiben will einfach aus "Spass" so soll der sich bitte bei mir melden und mir mal sagen weshalb er sowas tut...Ich hab schon genug Arbeit, ich brauch net noch mehr.

[toni]

Frechheit !!!

[Migi]

Jo, find ich auch...

[Tinel]

Also, wenn da jemand Unfug treiben will einfach aus "Spass" so soll der sich bitte bei mir melden und mir mal sagen weshalb er sowas tut...Ich hab schon genug Arbeit, ich brauch net noch mehr.

Da hast du recht. Derjenge, der sowas absichtlich macht, der denn das ist !

[toni]

Aber gehen tuts noch immer nicht ?

[Oscar]

Ich verstehe zu wenig davon um dazu was zu sagen, auf jeden Fall ist es ziemlich scheisse wenn einer das absichtlich macht. Kann es auch seinn, dass einer das unwissentlich ausgelöst hat, wies bei manchen Viren passiert?

[Migi]

Hab nun mal geschaut von welchem Server her die IP kommt, hab sie noch net geroutet um die Person festzustellen...Ich sag jetzt mal net was ich da gesehen habe...

[toni]

Na weißt wers war oder nicht ?

[Migi]

Von welchem server das kommt weis ich, aber wers war weis ich noch net. Ist n ziemlicher Aufwand das rauszufinden. Aber ich versuch nun mal die IP zu sperren.

[Enigma]

Hmm, welche Idioten machen sowas?
Wenn es denn überhaupt absichtlich gemacht wird.

Ich würde so gerne was hochladen...grrrr

[Tinel]

Ich verstehe zu wenig davon um dazu was zu sagen, auf jeden Fall ist es ziemlich scheisse wenn einer das absichtlich macht. Kann es auch seinn, dass einer das unwissentlich ausgelöst hat, wies bei manchen Viren passiert?

Dass wär dann für den Betroffenen blöder... Denn wie soll er seine Unschuld beweisen?

[Migi]

Klar, das kann auch unabsichtlich geschehen, was ich aber net denke...Zumindest alles ist net einfach so passiert...

[max]

aber WIE kann so was unabsichtlich passieren (vielleicht mir bei meinen "hochqualifizierten" computerkenntnissen ). scherz beiseite ich hoff wenn das jemand absichtlich gemacht hat dass er sich wenigstens meldet weil sonst werd ich grantig

[Tinel]

Nicht nur du wirst grantig. Ich werde , denn ich will den Webspace von meinem Dad auch nicht fürs Rate-Forum brauchen...

[Oscar]

Von welchem server das kommt weis ich, aber wers war weis ich noch net. Ist n ziemlicher Aufwand das rauszufinden. Aber ich versuch nun mal die IP zu sperren.

Wenn das geht ist das doch erstmal der richtige Weg. Dann kommt ja auf jeden Fall eine Reaktion, denn ich denke wir wollen hier doch alle Bilder posten, bin auch in den lezten Tagen daran verzweifelt, bis der admin mir sagte, dass es da im Moment Probleme gäbe. Hatte für alle Bilder immer das gleiche in der Anzeige, son komisch Gerüst. Oder es ging überhaupt nicht, schöner Mist.

Viel Erfolg bei der Suche!

[Raph]

Hm... das ist aber ganz schön scheisse. Das gibt´s ja net.
Könnte das echt auch ohne Fremdeinwirken gehen? (Viren etc.)
Und wenn wie ist das möglich?

[F. Feser]

migi, lass mir bitte mal deine Handy Nummer oder Privatnummer zukommen, ich werde dich dann umgehend kontaktieren, weil so gehts ja eigentlich net ...

(und nein: ich wars net ... zu sowas hätt ich glaub gar net die ahnung dazu!)

[Migi]

Also, ich hab da nun gestern n wenig mir Ram geredet. Der hat n Backup gezogen, was keine 200 MB gross ist. Dies entspricht den Daten, die ich gesehen habe. Ich habe dann das Verzeichnis gelöscht und siehe da, ich hatte genau so wie in der Statistik angezeigt, plötzlich wieder 400 MB mehr Space...Irgendwas war dort also drin was net hätte drin sein dürfen.

Ram arbeitet nun wie in einem anderen Thread angekündigt dran.

Hab auch noch ne Mail vom Server-Admin erhalten, er habe festgestellt, dass von meinem Server aus starke Belastungen ausgehen...Nun, geht schlussendlich net nur aufs Alpinforum, der hat nämlich was gesehen, was ich net gesehen habe. Jemand anders hat da auf dem Server auch noch unzählige Abfragen ausgeführt bzw. hat über den direkt-Link zugegriffen und somit wird der Server stärker belastet. Diese Person werd ich noch kontaktieren. Im Moment ist die Serverbelastung im normalen Bereich.

Mein Server-Admin meinte aber dann noch, dass er meinen Account auf einen leistungfähigeren Server transferieren würde. Hab ich mich gleich gefreut *g*.

[Martin]

Nur ne kurze Frage am Rande: werden die alten Bilder wieder kommen? Ich habe noch nicht alle gespeichert!

[michamab]

Ist der Fehler nun aufgeklärt (ich hatte fast weine Woche kein Internet *grml*) ? Ich hoffe das hat niemand mit Absicht gemacht, das wäre echt schlimm, du solltest in diesem Fall die entsprechende IP für immer sperren als gerechte Strafe. Zu der .htaccess-Datei, wenn du die da nicht hingepackt hast, könnte dies vielleicht eine Lücke im Sicherheitssystem dem Uploadsskriptes für das Forum hier sein ? Nicht jeder Programmierer ist perfekt und speziell bei RegExps kann viel in die Hose gehen.

[Gast]

entwprechende IP dauerhaft sperren bringt nix da kaum ein user keine dynamische IP hat.

[michamab]

Ja, aber wenn die Connection immer von der selben IP hergestellt wurde, handelt es sich mit hoher Wahrwscheinlichkeit im keine dynamische IP, es könnte ein Skript auf einem Server sein z.B., kaum jemand lässt sowas von seinem Rechner zu Hause laufen.

[Ram-Brand]

Es War ja auch der Ski-World Server und das Attachment Script!
Irgendwie funzt das nicht mehr seit Anfang des Jahres.

Vielleicht wurde etwas verstellt. K.A.!

[Migi]

Das Problem ist ja, daass die Daten net zurück ins Forum gelangen. Weil die Bilder werden auf den Server geladen.

@Ram: Mir ist grade noch was eingefallen. Für das Script brauchste bestimmt Abfragen in der Datenbank bzw. Tabellen oder Einträge, oder net? Wenn doch, so versuche die mal zu löschen, alle. Zwar sind dann die alten Bilder wohl alle weg, aber ich denke, das Script müsste dann wieder funktionieren. Ich weis net genau wies aufgebaut ist, wurde mir aus den Daten des Mods auch net so ganz klar. Aber wenn der jedesmal ne Abfrage in die Datenbank schreibt und du das Script dann neu draufmachst kanns sein, dass der mit der Indexierung n Problem bekommt und so net weis, was er nun schlussendlich in den Beitrag einfügen soll und so eben die Aktion abbricht.

[dCk]

Ja, aber wenn die Connection immer von der selben IP hergestellt wurde, handelt es sich mit hoher Wahrwscheinlichkeit im keine dynamische IP, Rechner zes könnte ein Skript auf einem Server sein z.B., kaum jemand lässt sowas von seinem u Hause laufen

das kann von nem Server ausgehen oder von jemand mit einer Standleitung, da man dort seine Ip dauerhaft behält.

Ich weiss es gibt solche Progs, die einem seine IP verschleiern, sprich mehrmaliger IP wechsel in der Minute.

Ich weiss ja nicht wie der Stand ist aber wenn das mit IP sperren nicht funktioniert auf den alias@hostname sollte besser gehen oder Ip-Range obwohl das warscheinlich ne blöde Lösung ist..

Also sind keine Bilder merh auf dem Server, soviel ich weiss sollten da auch Bilder von Männlichen drauf sein, die ich gerne mal angegüggslet hätte