AbcLinuxu:/ Poradna / Linuxová poradna / Pád serveru - vir

Štítky: CPU, Cron, databáze, distribuce, Fedora, FTP, Internet, Linux, MySQL, problém, restart, server

Dotaz: Pád serveru - vir

20.12.2009 01:01 RedMax | skóre: 6
Pád serveru - vir

Přečteno: 1264×

Odpovědět | Admin

Zdravíčko :)

Mám problém, nevím jak ho teď řešit. Mám server, na kterém mi běží pár webů. Běží na Fedora core 8. Stávalo se mi asi dva týdny, že mi server zahltil celou síť, odezvy bežely rapidně ke stovkách ms a v síti jsem se nedostal wůbec nikam, ani na net. Původně jsem si myslel, že mi to zahlcuje kopírování velkých souborů na server přes sambu, ale přislo mi to málo pravděpodobné. Podíval jsem se tedy do procesů, o co jde a všiml jsem si, že mi to vytěžují tři procesy. Zastavil jsem je a síť opět v pořádku. Všiml jsem si, že mi cron spustí nějaký soubor (části eshopu), který začne vytěžovat plně CPU a síť. Cron jsem odstanil (ani jsem nevěděl jak se do tabulek dostal) a týden byl klid. Potom se to objevilo znovu, kouknu do cronu a opět je nový zápis v tabulkách. Bylo mi to opravdu divné. Projel jsem antivirem disky a právě v těch souborech, který se spouštěli, byl škodlivý kód. NOD 32 hlásil Linux trojský kůň. Čuměl jsem jako péro. Soubory jsem tedy odstanil uplně, abych viděl co to bude dělat. Dalších pár dní byl klid, ale najednou přestal jet MySQL server. Nešel restartovat, normálně zamrznul. Zkusil jsem tedy restart server. Při spouštění systému mi selže spuštění služby yum-uptades a MySQL. Po najetí se mi vyplivne hláška "Uvítací program zřejmě padá. Probíhá pokus o použití jiného.". Kontrolka čtení/zápisu disků bliká jako o závod. Tím končím, nic jiného s tím nejde dělat.

Chtěl bych se tedy zeptat, jak je možný dostat vir do součástí eshopu? Proč cca po třech dnech padá MySQL? Proč po restartu tyto problémy? Co se s tím dá dělat? Jak případně chránit server proti virům? Podotýkám, že přes FTP nikdo těmto webům nepřistupoval.

Děkuji moc všem za rady a přeji krásné svátky.

Nástroje: Začni sledovat (1) ?

Odpovědi

20.12.2009 01:08 hikikomori82 | skóre: 18 | blog: foobar | Košice
Rozbalit Rozbalit vše Re: Pád serveru - vir

> Běží na Fedora core 8
> jak je možný dostat vir do součástí eshopu?

myslim ze si si sam odpovedal

Slobodný font na technické kreslenie

20.12.2009 02:17 Petr Šobáň | skóre: 80 | blog: soban | Olomouc
Rozbalit Rozbalit vše Re: Pád serveru - vir

No tak buď hodný :-)

No je pravda že FC 8 už je hodně zastaralý a nějaká díra už tam může být když už se nedělají upgrady. A nebo jsi si ty bezpečnostní díry zadělával sám ?

No nejednoduší asi zazálohovat data a nainstalovat aktuální Fedoru 12 a vše zase rozběhnout po kontrole dat.

20.12.2009 11:50 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Pád serveru - vir

Může být klidně bug i vtom eshopu (injection a podobné kravinky).

Tomu systému bych už v žádném případě nevěřil a komplet to přeinstaloval. A když už bych byl v tom, tak bych tam dal distribuci, která má delší support (CentOS, Debian stable). Dávat Fedoru na server je s prominutím kravina.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

20.12.2009 14:35 RedMax | skóre: 6
Rozbalit Rozbalit vše Re: Pád serveru - vir

Dobře, co mi asi zbývá. Jen se tedy ještě zeptám, zda bude můj postup správný. Mám použít nějaké Live distro jako knoopix a vytáhnout všechny data na externí disk a disk v serveru celý naformátovat a vše nanovo instalovat? Pak projet antivirem data a nahrát zpět na server?

20.12.2009 15:00 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Pád serveru - vir

Tak nějak. Akorát bych poznamenal, že pokud je to možné, tak bych pro obnovení použil opravdu jen čistě data, případně pokud by bylo potřeba použít nějaké (přdpokládám ten eshop) tak bych je ještě radši zkouknul a mrknul jestli není k dispozici novější verze toho e-shopu (protože si myslím, že tam mohla být díra).

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

21.12.2009 03:18 RedMax | skóre: 6
Rozbalit Rozbalit vše Re: Pád serveru - vir

Tak jsem se rozhodl, že použiji Debian, který zrovna stahuji. Jen zaboha nemohu pořipojit disk, abych mohl data zálohovat.

Mám k dispozici druhý disk, kde mám nainstalovaný FC8. Zaboha nemohu disk, který potřebuji zálohovat, připojit. Prosim vás, jak nejlépe a jednoduše ho připojit? V /dev/ mám sda1 - sda4 a sdb1 - sdb4. Potřebuji připojim sdb2, který je ext3. Využívám LVM. Jak ho namountovat do nějakého adresáře?

Díky

21.12.2009 05:23 ZAH | skóre: 43 | blog: ZAH
Rozbalit Rozbalit vše Re: Pád serveru - vir

mount -t ext3 /dev/sdb2 /mount_dir

21.12.2009 20:18 RedMax | skóre: 6
Rozbalit Rozbalit vše Re: Pád serveru - vir

Ups, tak není ext3. Pořád to nějak nemohu udělat, poradíte prosím někdo?
sfdisk -l

[root@localhost ~]# sfdisk -l

Disk /dev/sda: cylindrů: 4865, hlav: 255, sektorů/stopu: 63
Jednotky = cylindry po 8225280 bajtech, bloky po 1024 bajtech, počítáno od 0

Zařízení Boot Začátek Konec Cyldrů Bloků Id Systém
/dev/sda1 * 0+ 24 25- 200781 83 Linux
/dev/sda2 25 4864 4840 38877300 8e Linux LVM
/dev/sda3 0 - 0 0 0 Prázdný prostor
/dev/sda4 0 - 0 0 0 Prázdný prostor

Disk /dev/sdb: cylindrů: 38913, hlav: 255, sektorů/stopu: 63
Jednotky = cylindry po 8225280 bajtech, bloky po 1024 bajtech, počítáno od 0

Zařízení Boot Začátek Konec Cyldrů Bloků Id Systém
/dev/sdb1 * 0+ 24 25- 200781 83 Linux
/dev/sdb2 25 38912 38888 312367860 8e Linux LVM
/dev/sdb3 0 - 0 0 0 Prázdný prostor
/dev/sdb4 0 - 0 0 0 Prázdný prostor

Disk /dev/dm-0: cylindrů: 4581, hlav: 255, sektorů/stopu: 63

sfdisk: CHYBA: sektor 0 nenese stopy MS-DOSU
/dev/dm-0: nerozpoznaný typ tabulky rozdělení disku
Nebyly nalezeny žádné diskové oddíly

Disk /dev/dm-1: cylindrů: 252, hlav: 255, sektorů/stopu: 63

sfdisk: CHYBA: sektor 0 nenese stopy MS-DOSU
/dev/dm-1: nerozpoznaný typ tabulky rozdělení disku
Nebyly nalezeny žádné diskové oddíly
You have new mail in /var/spool/mail/root

Jak ho namountovat? Jedna se o sdb2. Děkuji moc

21.12.2009 20:51 vencour | skóre: 56 | blog: Tady je Vencourovo | Praha+západní Čechy
Rozbalit Rozbalit vše Re: Pád serveru - vir

Zkuste program testdisk ... ať to zanalyzuje ... odkaz.

Ty nejhlubší objevy nečekají nutně za příští hvězdou. Jsou uvnitř nás utkány do vláken, která nás spojují, nás všechny.

22.12.2009 07:39 tomasgn | skóre: 23 | JN89GE
Rozbalit Rozbalit vše Re: Pád serveru - vir

mas nainstalovane LVM? co rika vystup prikazu pvs, vgs, lvs?

22.12.2009 16:14 RedMax | skóre: 6
Rozbalit Rozbalit vše Re: Pád serveru - vir

[root@localhost ~]# pvs
PV VG Fmt Attr PSize PFree
/dev/sda2 VolGroup00 lvm2 a- 37,06G 32,00M
/dev/sdb2 lvm2 -- 297,90G 297,90G

[root@localhost ~]# vgs
VG #PV #LV #SN Attr VSize VFree
VolGroup00 1 2 0 wz--n- 37,06G 32,00M

[root@localhost ~]# lvs
LV VG Attr LSize Origin Snap% Move Log Copy%
LogVol00 VolGroup00 -wi-ao 35,09G
LogVol01 VolGroup00 -wi-ao 1,94G

Tady je právě problém, že sice disk vidím, tedy sdb2, ale už nevidím nic jako VolGroup01 jako k tomu bylo vždy. Pořád vidím jen disk, na kterých je teď systém a též na něm pracuji, tedy VG00.

22.12.2009 20:21 MMichal | skóre: 20
Rozbalit Rozbalit vše Re: Pád serveru - vir

Podle tohohle vypisu je /dev/sdb2 Physical Volume, ktery neni soucasti zadne Volume Group. Pokud postradate VG, ktera mela byt na tomto PV, tak se stalo cosi spatneho. Mohlo dojit ke ztrate metadat - me se to jednou stalo, kdyz jsem omylem vypnul externi disk, kdyz byl pripojen.

Muzete zkusit najit zalohu techto metadat - LVM standardne pred kazdym LVM prikazem dela zalohu. Posledni by mela byt v /etc/lvm/backup/<JMENO_VG>, starsi potom v adresari /etc/lvm/archive. Pokud najdete zalohu, muzete se ji pokusit obnovit prikazem vgcfgrestore. Durazne vsak doporucuji predem udelat zalohu pomoci dd.

Pokud se podari metadata obnovit, pustil bych fsck na vsechny filesystemy v teto VG, aby byla jistota, ze metadata jsou korektni (v pripade pouziti nespravnych metadat se chybne poskladaji jednotliva LV a tudiz filesystemy budou obsahovat nesmyly).

Michal

23.12.2009 01:54 RedMax | skóre: 6
Rozbalit Rozbalit vše Re: Pád serveru - vir

Dobře, ale tento disk nikdy nebyl připojen k tomuto systému, na kterém teď pracuji. Když si pustím Slax, tak jsou výpisy stejné, taky není součástí žádné VG. Pokud tedy chápu, metadata by měl nést sám disk, ale tam se bohužel na disk nemohu dostat, neboť ho právě nemohu připojit a systém co na něm je instalovaný padnul. Takže jak vlastně z tohoto kola ven?

23.12.2009 13:17 tomasgn | skóre: 23 | JN89GE
Rozbalit Rozbalit vše Re: Pád serveru - vir

a neni to tak, ze nazvy VG jsou na obou discich stejne? zkus v pocitaci nechat jen sdb, sda odpoj, nabootuj slax, a koukni zda nejakou VG najdes.

23.12.2009 18:50 MMichal | skóre: 20
Rozbalit Rozbalit vše Re: Pád serveru - vir

To by to nepsalo, ze je PV prazdne.

25.12.2009 12:50 RedMax | skóre: 6
Rozbalit Rozbalit vše Re: Pád serveru - vir

To jsem taky zkoušel, ale Slax ukáže jen sda (normálně sdb) a vůbec také není součástí žádné VG.

23.12.2009 18:57 MMichal | skóre: 20
Rozbalit Rozbalit vše Re: Pád serveru - vir

Metadata nese disk sam (kazde PV nese kompletni informace o VG (nemylim-li se :-)

. Pokud tato metadata nemate, nemuzete obnovit VG.

Ja osobne bych se v takove situaci pokusil na disku nalezt zalohu metadat - klidne primym hledanim na blokovem zarizeni, kdyz neni FS. Tyto soubory byvaji male a tak je velka pravdepodobnost, ze se je podari najit v jednom souvislem bloku.

Prikladam ukazku, aby jste videl, co mate hledat:

# Generated by LVM2 version 2.02.39 (2008-06-27): Thu Nov 20 23:37:44 2008

contents = "Text Format Volume Group"
version = 1

description = "Created *after* executing 'vgimport -a'"

creation_host = "nmrysavy"	# Linux nmrysavy 2.6.27.6 #2 SMP Wed Nov 19 23:52:10 CET 2008 x86_64
creation_time = 1227220664	# Thu Nov 20 23:37:44 2008

olddiskvg {
	id = "3FB7sF-yyyC-2rt2-KYzA-0mO7-YPsE-fY3dWk"
	seqno = 128
	status = ["RESIZEABLE", "READ", "WRITE"]
	extent_size = 65536		# 32 Megabytes
	max_lv = 0
	max_pv = 0

	physical_volumes {

		pv0 {
			id = "qlQDxC-cIF0-OLNk-6MUt-CCR8-VF9p-6awLkm"
			device = "/dev/sdc1"	# Hint only

			status = ["ALLOCATABLE"]
			dev_size = 625137282	# 298.089 Gigabytes
			pe_start = 384
			pe_count = 9538	# 298.062 Gigabytes
		}
	}

	logical_volumes {

		root {
			id = "7HQHze-OUC8-xpYP-xoty-zW10-cDYq-a1tuMo"
			status = ["READ", "WRITE", "VISIBLE"]
			segment_count = 4

			segment1 {
				start_extent = 0
				extent_count = 1	# 32 Megabytes

				type = "striped"
				stripe_count = 1	# linear

				stripes = [
					"pv0", 0
				]
			}
			segment2 {
				start_extent = 1
				extent_count = 305	# 9.53125 Gigabytes

				type = "striped"
				stripe_count = 1	# linear

				stripes = [
					"pv0", 305
				]
			}
			segment3 {
				start_extent = 306
				extent_count = 304	# 9.5 Gigabytes

				type = "striped"
				stripe_count = 1	# linear

				stripes = [
					"pv0", 1
				]
			}
			segment4 {
				start_extent = 610
				extent_count = 193	# 6.03125 Gigabytes

				type = "striped"
				stripe_count = 1	# linear

				stripes = [
					"pv0", 1063
				]
			}
		}

		windows {
			id = "2p308m-kSf8-TnmU-cs6f-GX14-cvzd-98DxOi"
			status = ["READ", "WRITE", "VISIBLE"]
			segment_count = 1

			segment1 {
				start_extent = 0
				extent_count = 453	# 14.1562 Gigabytes

				type = "striped"
				stripe_count = 1	# linear

				stripes = [
					"pv0", 610
				]
			}
		}

		data {
			id = "H1VmQa-8U2i-g2LP-305W-1DKn-MzUR-aqJT1t"
			status = ["READ", "WRITE", "VISIBLE"]
			segment_count = 1

			segment1 {
				start_extent = 0
				extent_count = 275	# 8.59375 Gigabytes

				type = "striped"
				stripe_count = 1	# linear

				stripes = [
					"pv0", 1256
				]
			}
		}
	}
}

25.12.2009 12:53 RedMax | skóre: 6
Rozbalit Rozbalit vše Re: Pád serveru - vir

Fajn, tzn. že bych metadata měl hledat na tom poškozeném disku, ale jak se tam kruci dostanu? Nemohu tam nic hledat, když se ho právě snažím připojit, ne? Já toomu nerozumím.

27.12.2009 22:14 MMichal | skóre: 20
Rozbalit Rozbalit vše Re: Pád serveru - vir

Přímým čtením zařízení. Např. pomocí příkazu dd zkopírovat obraz disku do souboru a hledat v něm.

23.12.2009 14:27 frEon | skóre: 40 | Praha
Rozbalit Rozbalit vše Re: Pád serveru - vir

zkus vgchange -ay

Talking about music is like dancing to architecture.

22.12.2009 07:40 stativ | skóre: 54 | blog: SlaNé roury
Rozbalit Rozbalit vše Re: Pád serveru - vir

Problém je v tom, že tam je LVM, to tak snadno namountovat nejde. Z hlavy ti to neřeknu (Google by nejspíš poradil), ale v zásadě musíš to LVM aktivovat (vgněco) a pak přimountovat, ale pozor! Mountuje se to přes device mapper, takže jako zařízení nepoužiješ /dev/sda2, ale /dev/mapper/zařízení.

Ať sežeru elfa i s chlupama!!! ljirkovsky.wordpress.com stativ.tk

22.12.2009 16:17 RedMax | skóre: 6
Rozbalit Rozbalit vše Re: Pád serveru - vir

[root@localhost ~]# vgscan --mknodes
Reading all physical volumes. This may take a while...
Found volume group "VolGroup00" using metadata type lvm2

[root@localhost ~]# vgchange -ay
2 logical volume(s) in volume group "VolGroup00" now active

Právě jak píšu výše, pořád je tu jen VG00, ale měl by se objevit o VG01, ne?

Jsem si právě koupil knihu a když podle ní chci něco udělat, většinou to ani nejde. :)

28.12.2009 01:13 RedMax | skóre: 6
Rozbalit Rozbalit vše Re: Pád serveru - vir

Ještě mě napadla jedna věc. Nedávno jsem si zálohoval všechny konfiguráky, takže vlastně potřebuji pouze co je v adresáři /var. Chci se zeptat, co když na disk nainstaluji znovu Fedory, pososám data z /var a pak celý disk naformátuji? Při instalaci nového systému se nezasahuje do adresáře /var? Tzn. databáze MySQL, apod. budou nedotčeny? Nedá se případně nějak systém pouze opravit?

Děkuji :)

Založit nové vlákno • Nahoru

Tiskni Sdílej: