KeyHelp Community

Hallo,

ich untersuche hier gerade einen Vorfall auf einem unserer Keyhelp-Server. Wir mussten den keyhelp-php74 Dienst neu starten, weil alle Webseiten, die diese PHP-Version nutzen nicht mehr erreichbar waren. In dem Zusammenhang wurde auch der apache neu gestartet. Nun sehe ich unter Systemstatus => Monitoring => Netzwerküberwachung => Webserver-Anfragen einen ganz großen Ausreißer: 14 Mio Anfragen / Sekunde genau zu dem Zeitpunkt des Apache-Neustarts (12:55 Uhr). Davor und danach dümpelt es wie gewohnt bei ca. 10 Anfragen / Sekunde herum.

Die Webseiten waren laut externem Monitoring zu dem Zeitpunkt bereits ca. eine Stunde down (ab 11:58 Uhr). Nun frage ich mich, woher Keyhelp die Daten für die oben genannte Anzeige holt. Ich würde nämlich gern einschätzen ob tatsächlich 14 Mio. Anfragen genau um 12:55 hereingekommen sind (halte ich für eher unwahrscheinlich) oder es über den Zeitraum von 11:57 - 12:55 ein erhöhtes Aufkommen gab (was sich mit dem Ausfall der Webseiten decken würde).


Viele Grüße,
Lars

Hallo,

die Daten kommen vom Webserver-eigenen "Apache-Server-Status" - dort gibt es den Punkt "Total Accesses:".

Schau doch mal in die access.log rein, aufgrund der aktuellen Situation bzgl. Attacken halte ich es nicht für "unwahrscheinlich" ...
Könnte aber auch durch Malware, SEO Kram oder Sicherheitlücken (veraltete CMS, Plugins, Themes) verursacht werden.
Aktuelle requests (LISTEN. ESTABLISHED, TIME_WAIT) Anzahl auch mal nach schauen z.b.

Vielen Dank für eure Antworten! Da weiß ich künftig, wie ich die Zahlen interpretieren kann und den netstat-Einzeiler habe ich mir auch mal notiert

Inzwischen ist zwar alles wieder wie gewohnt ruhig, aber falls es wieder auftreten sollte, kann ich so hoffentlich etwas mehr sehen. Die Logs werde ich später noch auswerten.