error.log 354 GB

[mumati]

Ich bin sicher, dass die Ursache des Problems bei KeyHelp liegt
ja


Server-Betriebssystem + Version
Debian 10.13 (64-bit)


Eingesetzte Server-Virtualisierung-Technologie
keine


KeyHelp-Version + Build-Nummer
23.1.1 (Build 3016)


Problembeschreibung / Fehlermeldungen
Ein Kunden Log Datei error.log war 354 GB, obwohl der Kunde nur 20 GB Platz zur Verfügung hatte. Ist es ei Fehler oder kann man irgendwo definieren, wie groß ein Log Datei werden darf ?

Erwartetes Ergebnis


Tatsächliches Ergebnis


Schritte zur Reproduktion


Zusätzliche Informationen
(z.B. kürzlich durchgeführte Änderungen am Server, Auszüge aus Protokolldateien (/var/log/*, /var/log/keyhelp/php-error.log, etc.))

[Ralph]

schau mal wann das Logfile zuletzt rotiert wurde zu error.log.1
und dann solltest du dir dieses Web (Anwendung) und die Fehlermeldungen im Log sehr genau anschauen, entweder ist die Anwendung defekt oder wird attackiert (veraltete Anwendung, sicherheitskritische Anwendung, fehlerhafte Konfiguration).
Am besten das error.log downloaden, anschliessend das Web sperren und das Log file löschen (apache restart) und nach der Ursache suchen.

Code: Select all

ls -l /home/users/#user#/logs/#web#
tail -n 100 /home/users/#user#/logs/#web#/error.log

[mumati]

Hi Ralph,

Vielen herzlichen Dank für die Antwort. Ich habe die error.log leider ohne herunterladen gelöscht, da ich auch nicht auf meinem Laptop so viel Platz hatte. Nach dem Apache neustart war der Speicher wieder frei. Ich prüfe dann die Wordpress Anwendung, wie der error.log innerhalb 5 Tagen 354 GB erreicht hat.

Beste Grüße

[Ralph]

Hi Ralph,

Vielen herzlichen Dank für die Antwort. Ich habe die error.log leider ohne herunterladen gelöscht, da ich auch nicht auf meinem Laptop so viel Platz hatte. Nach dem Apache neustart war der Speicher wieder frei. Ich prüfe dann die Wordpress Anwendung, wie der error.log innerhalb 5 Tagen 354 GB erreicht hat.

Beste Grüße

Das error.log sollte dir verraten wo das Problem liegt, falls nicht gleich behebbar, sollte ein PW Schutz oder require_ip auf das Web gesetzt werden, sonst geht es weiter mit dem logging.
Normalerweise sollte ab einer bestimmten Größe das Log file schon rotiert werden ... oder es war eine gezielte Attacke.

P.S.
Du hast nicht zufällig zwei verschiedene PHP Versionen für "www.domain.tld" und "domain.tld" für das Wordpress eingestellt?

[Tobi]

P.S.
Du hast nicht zufällig zwei verschiedene PHP Versionen für "www.domain.tld" und "domain.tld" für das Wordpress eingestellt?

Das wäre Wordpress völlig Banane, da Wordpress immer auf die URL in den Einstellungen weiterleitet und somit die alternative PHP Version nie zum Tragen käme.

Nice try anyway

[24unix]

Nice try anyway

[mumati]

Hi Ralph,

Vielen herzlichen Dank für die Antwort. Ich habe die error.log leider ohne herunterladen gelöscht, da ich auch nicht auf meinem Laptop so viel Platz hatte. Nach dem Apache neustart war der Speicher wieder frei. Ich prüfe dann die Wordpress Anwendung, wie der error.log innerhalb 5 Tagen 354 GB erreicht hat.

Beste Grüße

Das error.log sollte dir verraten wo das Problem liegt, falls nicht gleich behebbar, sollte ein PW Schutz oder require_ip auf das Web gesetzt werden, sonst geht es weiter mit dem logging.
Normalerweise sollte ab einer bestimmten Größe das Log file schon rotiert werden ... oder es war eine gezielte Attacke.

P.S.
Du hast nicht zufällig zwei verschiedene PHP Versionen für "www.domain.tld" und "domain.tld" für das Wordpress eingestellt?

Ich habe bei www und auch ohne www PHP 7.3 gesetzt. Ich überwache die log files. Momentan schaut es gut aus. War vielleicht doch eine Attacke. Ich melde mich nochmal, wenn ich die Ursache rausgefunden habe. Herzlichen Dank

[Ralph]

P.S.
Du hast nicht zufällig zwei verschiedene PHP Versionen für "www.domain.tld" und "domain.tld" für das Wordpress eingestellt?

Das wäre Wordpress völlig Banane, da Wordpress immer auf die URL in den Einstellungen weiterleitet und somit die alternative PHP Version nie zum Tragen käme.

Nice try anyway

haha, Ich wollte nur wissen ob sonst noch jemand da ist

[tab-kh]

PHP 7.3? Hmm. Läuft dein Wordpress nicht mit neueren Versionen von PHP? Falls nicht, haben wir das Einfalls-Scheunentor wohl schon gefunden. Ansonsten würde ich eine aktuelle PHP-Version nutzen. Auch PHP 7.3 selbst könnte eventuell Sicherheitslücken enthalten, die nicht mehr gefixt werden.

[mumati]

PHP 7.3? Hmm. Läuft dein Wordpress nicht mit neueren Versionen von PHP? Falls nicht, haben wir das Einfalls-Scheunentor wohl schon gefunden. Ansonsten würde ich eine aktuelle PHP-Version nutzen. Auch PHP 7.3 selbst könnte eventuell Sicherheitslücken enthalten, die nicht mehr gefixt werden.

Hmm, Daran habe ich nicht gedacht. Leider funktioniert WP nicht neuere Versionen wie 7.3. Habe bereits bei 7.4 und 8 probiert aber leider gibt die Seite Fehlermeldung. Ich überwache erst paar Tage mit 7.3, wenn es nochmal vorkommt, dann muss ich wohl shauen, dass die WP mit PHP 8 auch laufen tut.

Danke vielmals.

[Ralph]

PHP 7.3? Hmm. Läuft dein Wordpress nicht mit neueren Versionen von PHP? Falls nicht, haben wir das Einfalls-Scheunentor wohl schon gefunden. Ansonsten würde ich eine aktuelle PHP-Version nutzen. Auch PHP 7.3 selbst könnte eventuell Sicherheitslücken enthalten, die nicht mehr gefixt werden.

Hmm, Daran habe ich nicht gedacht. Leider funktioniert WP nicht neuere Versionen wie 7.3. Habe bereits bei 7.4 und 8 probiert aber leider gibt die Seite Fehlermeldung. Ich überwache erst paar Tage mit 7.3, wenn es nochmal vorkommt, dann muss ich wohl shauen, dass die WP mit PHP 8 auch laufen tut.

Danke vielmals.

sind alle Plugins und das Theme auf dem neuesten Stand?
WP läuft auch stabil unter PHP 7.4
Du solltest das error.log dann auch mal lesen und auswerten bzw. mal hier posten:

Code: Select all

tail -n 100 /home/users/#user#/logs/#web#/error.log

[Tobi]

Wordpress sollte bestenfalls sogar schon PHP 8.1 nutzen.

Wenn dein Wordpress nichtmal 7.4 kann deutet das auf ein Uralt-Plugin hin welches schnellstens gelöscht werden sollte.
Zu 99,9% ist nicht Wordpress oder die PHP Version schuld, sondern eigentlich immer ein Plugin.

Jetzt aber das viel größere Problem…
Wenn dein Wordpress tatsächlich gehackt wurde dann kann man eigentlich davon ausgehen, dass der gesamte Useraccount komprimiert ist. Falls du kein KeyHelp PRO mit root chail verwendest, dann kann sogar dein ganzer Server kompromittiert sein.

Aus meiner Sicht ist die „richtige“ PHP Version zur Zeit dein geringstes Problem.

[mumati]

Hmm,

Vielen Dank.

Ich habe alle Zugangsdaten geändert und alle Wordpress Webseiten auf PHP 8 umgestellt.

[Florian]

Hallo,

man sollte wie bereits gesagt mal einen Blick in das Log werfen. Häufig liegt es daran, dass z.B. das Wordpress eine PHP Funktion nutzen will, die über disabled_functions im Keyhelp gesperrt ist. Da laufen dann stehst und ständig Meldungen in das Error Log was es dann so aufbläht.