defunct et plantage serveur sme55

[Bibi]

SAlut !

ce matin (un lapin)...
mon serveur SME 5.5 192M ram 20giga DD
FTP + qq sites web
était inaccessible !

Plus de web !

ps aux et je trouve plusieurs dizaines de lignes en [nom_service <defunct>]

Code: Tout sélectionner

root    3603  0.0  0.1  1536  288 ? T    11:55   0:00 /bin/checkpassword /var/qmail/bin/qmail-pop3d Maildir
root    3604  0.0  0.0     0    0 ?     Z    11:55   0:00 [checkpassword <defunct>]
root    169  0.0  0.1  1360  268 ?   T    11:19   0:00 chmod 0664 /var/run/utmp /var/log/wtmp
root    180  0.0  0.0     0    0 ?       Z    11:19   0:00 [chmod <defunct>]

D'autres services étaient dans le mm état dont mysqld et httpd

La liste donnée par "ps aux" était super longue.

Voila.
Alors j'ai cherché sur le forum "defunct" et que dalle.
Merci pour votre aide

[Gaston]

Salut,
un process en defunct est un process qui s'est fait planter mais qui était dans un "wait" state à ce moment là (I/O engénéral).
Donc le noyau sait qu'il lui devait qqchse et c'est pour ça qu'il reste dans la liste des process (en mode Z = Zombie).

Non seulement ces process ne servent plus à rien mais ils peuvent avoir des effets de blocages : ils n'ont pas restituée leurs contextes et lock posés.
Si tu peux, ce n'est pas toujours possible, kill tous ces process (avec un kill -9 au minimum, ben oui:( ) Après tu vérifies que tu peux redémarrer tes services ... Sinon il faut que tu rebootes
Par contre pourquoi tu en est arrivé là est becaucoup + difficel à trouver, vérifie var/log/messages, ce que tu cherches : un pb sur l'état de tes disques, alimentation, cartes scsi ...

Hopes it helps
G.

[Muzo]

Salut,

Comme d'ab j'arrive après la guerre, de mémoire sur le forum de contribs.org, c'est arrivé à un type.
Apparement c'est un piratage de sa SME (la version 5.5 n'étant plus à jour). Essaie si tu peux de sauvegarder tes bases et tes fichiers de configuration (et templates aussi) avant un redémarrage.

Car lui a du tout réinstaller.

Mais bon c'est de mémoire.

[Bibi]

bon, j'ai corrigé qq script en php qui envahissait mon /var/log/messages

Maintenant quand je fais un ps aux j'obtient (entre autre)

Code: Tout sélectionner

www      21691  0.4  2.9 77612 5760 ?        S    15:45   0:00 /usr/sbin/httpd -DHAVE_PHP4 -DHAVE_PROXY -DHAVE_ACCESS -DHAVE_PROXY -DHAVE_AUTH_ANON -DHAVE_ACTIONS -DHAVE_ALIAS


cette ligne y est une bonne vingtaine de fois (correspondant je suppose) à toutes les requettes sur le site.


C quoi ce delire ?

[Gaston]

Salut,

il faudrait peut-être que tu suive les conseil de Muzo
et envisager un piratage si tu as de la chance avec juste une modif des fichiers de conf. sinon une modif des templates.

Pour le process cité,
Je ne connais pas la 5.5, mais en 5.6 on a juste comme libéllé du process "httpd"
Quant au nombre, c'est celui qui est dans le /etc/httpd/conf/httpd.conf StartServer si mes souvenirs sont bons .C'est le nombre d'instance du daemon prêt à répondre avant d"avoir besoin de forker dans les limit du MaxClients
20 ça me paraît beaucoup (sauf si tu as de bonnes raisons de l'avoir changé).

G.

[Bibi]

en faisant qq recherche sur le net (avec httpd defunct comme mot clé) je suis tombé sur une info d'OVH qui presentait des listes de process correspondant à un piratage.
http://guides.ovh.net/MachineSemiHackee/contenu.html
Evidement on y trouve des points commun, mais sans plus.

Ils mettaient aussi en evidence la faille du port 443, que j'ai fermé immediatement pas sur SME mais sur mon routeur (sth pro) pour voir...

quelques kill -9....
j'ai zieuté le /var/log/message
Là c'était fou ! 5 ou 6 erreur apache par seconde !
J'ai meme suprimé le fichier php en cause, l'erreur continuait a être déclarée dans le /var/log/message !
Donc, modifs d'un script php, restart de httpd, kill -9 de toutes les $%#&!, reboot, ps aux....

Et bien, je sais pas si c'est une coincidence, mais le delire de SME s'est vachement calmé.
sur un TOP je n'ai plus que 2 ou 3 Zombies par ci par la (du root sur des process chrgrp, chmod, mysqldn httpd, etc...)

un ps aux me donne maintenant :

Code: Tout sélectionner

root  6287  0.0  0.1 1536  288 ?  T  18:32   0:00 /bin/checkpassword /var/qmail/bin/qmail-pop3d Maildir
root  6290  0.0  0.0  0   0 ?  Z  18:32   0:00 [checkpassword <defunct>]
www      12989  0.4  3.1 77900 6192 ?        S    21:20   0:21 httpd
www      13301  0.3  3.1 77952 6228 ?        S    21:26   0:12 httpd
www      13304  0.2  3.2 78004 6280 ?        S    21:26   0:11 httpd
www      13305  0.3  3.1 77860 6128 ?        S    21:26   0:13 httpd
www      13789  0.3  3.1 78000 6272 ?        S    21:37   0:10 httpd
www      13808  0.2  3.0 77724 5956 ?        S    21:38   0:07 httpd
www      13811  0.2  3.0 77812 6080 ?        S    21:38   0:08 httpd
www      13812  0.3  3.1 77928 6188 ?        S    21:38   0:11 httpd
www      13884  0.3  3.1 77952 6216 ?        S    21:40   0:10 httpd
www      13887  0.2  3.1 77844 6116 ?        S    21:40   0:08 httpd
www      14135  0.2  3.1 77856 6104 ?        S    21:45   0:05 httpd
www      14139  0.2  3.0 77760 5980 ?        S    21:45   0:07 httpd
www      14199  0.3  3.0 77784 6068 ?        S    21:46   0:10 httpd
www      14200  0.4  3.1 77968 6240 ?        S    21:46   0:11 httpd
www      14361  0.2  3.1 77936 6204 ?        S    21:50   0:05 httpd

y'a plus de ligne que ca....
Mais rien de comparable à ce matin (un lapin).

Plus de "/usr/sbin/httpd -DHAVE_PHP4 -DHAVE_PROXY -DHAVE_ACCESS -DHAVE_PROXY" ????
mais bordel ! ca venait d'où ????

A noter que je n'ai pas touché (depuis des lustres) le httpd.conf ou aucun fichier de config (template y compris)

A part le port 443, et qq script php qui deliraient ?! (je rève) j'ai rien fait je le jure !

Alors ma question :
puis-je dormir tranquille ?
C'est fini ?
Ou dois-je me préparer une becane de secours ?
Et si oui, on peut passer les templates d'un 5.5 à une version recente ?

Je sais...


Merci à tous !

[Muzo]

Alors prépare une bécane de secours.

Et je te conseillerais de partir d'un configuration 6.01 propre et saine. Car one ne change pas que les tempaltes en passant d'une 5.5 à une 6.01, il y'a aussi le kernel, les version de apache, de proftpd, ....

Maintenant est-ce un serveur perso ou pro?

[Bibi]

Muzo, tu reponds pas à mes questions ????
c'est un serveur perso, mais je fais plus de 35000 visiteurs (pas hit ) par mois.
Je pense que SME peut largement tenir la "charge" si on peut parler de charge.

J'aimerai savoir, quite à refaire une becane, ce qu'il s'est passé ou se qu'il se passe.

Mozo, La verson 6.01 est stable (j'ai pas beaucoup suivit les evolutions, desolé) ou c'est une beta ?
elle en fait plus qu'avant ou moins ?
pas de pb avec plein de sous domaine, les comptes mails, le ftp etc.. ?

Si c'est cool, et testé par tous sans bug, je migre ce week end.

Merci !

[Muzo]

Euh .. lesquelles?

Arf .. oui avec tant de visiteurs tu ne peux te permettre de migrer comme ca du jour au lendemain.

Pour en revenir a tes questions, je dirais que c'est un mauvais présage. Si ton serveur est repéré comme aillant des failles, ca ne va pas s'arranger. Car la version 5.5 à des failles non corrigées sur ses versions de apache et proftpd.

LA version stable officielle est bien la 6.01 version contribs.org ou alors 6.0 version Mittel. La différence? uniquemement l'interface graphique du server-manager. Aucun patch à l'heure actuelle pour cette version.

Pour tes autres questions (pleins de sous domaines, ftp, ...) honnêtement je ne sais pas. Mais vu que c'est toujours le même mécanisme, je dirais pas trop de problèmes.

Si contribs.org avait était up, je t'aurais recommander d'y faire un tour. Mais là ...