Plantage serveur mais pourquoi?

Support Debian
#1

Bonjour,

J’ai un serveur sous debian (2.6.18-5-486) sur lequel tourne un serveur web apache+mysql+ftp

Par moment, il plante sans raison. Je n’ai pas d’écran dessus, juste un accès root en ssh.

Il a par exemple planté cet après-midi entre 13h20 et 16h30 mais pourquoi?

Voici les fichiers syslog :
http://snoopftp3.free.fr/syslog/syslog

http://snoopftp3.free.fr/syslog/syslog.0

J’ai regardé dans le syslog mais je ne vois pas vraiment ce qu’il y a d’anormale, à part :

Feb 8 13:06:22 serv proftpd[14076]: connect from 62.219.164.68 (62.219.164.68)
Feb 8 13:06:35 serv proftpd[14077]: connect from 62.219.164.68 (62.219.164.68)

L’ip n’est pas à moi et 62.219.164.68 :imp: :question: :exclamation:

Bref j’aimerais juste connaitre la cause du plantage.

Merci pour tout

#2

tu entends quoi par planter ?

#3

Je n’ai plus d’accès ni en http ni en ssh.
L’ip ne répond même plus sur un autre pc du même réseau local

#4

et ça revient au bout d’un moment ? ou tu le reboot a la mano ?

#5

A la mano :blush:

Vous voyez un truc louche dans le log?

#6

Tu peux pas te connecter en local? Essaye de le faire tourner dans le vide (non connecté au réseau) si il n’est pas indispensable, histoire de voir quoi…

#7

Coincidence il m’est arrivé la même chose aujourd’hui, le serveur ne réagissait même pas aux touches magiques. :unamused:
Par contre pas de chose anormale dans les logs.

#8

Salut,

J’ai jeté un coup d’oeil à ton premier fichier de log et voici ce qui ressort

Feb 8 17:33:56 serv kernel: eth0: link up, 100Mbps, full-duplex, lpa 0x45E1 Feb 8 17:33:57 serv mysqld_safe[1965]: started Feb 8 17:33:58 serv mysqld[1968]: 080208 17:33:58 InnoDB: Started; log sequence number 0 43655 Feb 8 17:33:58 serv mysqld[1968]: 080208 17:33:58 [Note] Recovering after a crash using /var/log/mysql/mysql-bin Feb 8 17:33:58 serv mysqld[1968]: 080208 17:33:58 [Note] Starting crash recovery... Feb 8 17:33:58 serv mysqld[1968]: 080208 17:33:58 [Note] Crash recovery finished. Feb 8 17:33:58 serv mysqld[1968]: 080208 17:33:58 [Note] /usr/sbin/mysqld: ready for connections. Feb 8 17:33:58 serv mysqld[1968]: Version: '5.0.32-Debian_7etch3-log' socket: '/var/run/mysqld/mysqld.sock' port: 3306 Debian etch distribution Feb 8 17:33:59 serv /etc/mysql/debian-start[2016]: Upgrading MySQL tables if necessary. Feb 8 17:34:00 serv /etc/mysql/debian-start[2109]: Checking for crashed MySQL tables Feb 8 17:34:53 serv /etc/mysql/debian-start[2310]: WARNING: mysqlcheck has found corrupt tables Feb 8 17:34:53 serv /etc/mysql/debian-start[2310]: blog.wp_Counterize Feb 8 17:34:53 serv /etc/mysql/debian-start[2310]: warning : 1 client is using or hasn't closed the table properly Feb 8 17:34:53 serv /etc/mysql/debian-start[2310]: blog.wp_comments Feb 8 17:34:53 serv /etc/mysql/debian-start[2310]: warning : 1 client is using or hasn't closed the table properly Feb 8 17:34:53 serv /etc/mysql/debian-start[2310]: blog.wp_links Feb 8 17:34:53 serv /etc/mysql/debian-start[2310]: warning : 1 client is using or hasn't closed the table properly Feb 8 17:34:53 serv /etc/mysql/debian-start[2310]: blog.wp_options Feb 8 17:34:53 serv /etc/mysql/debian-start[2310]: warning : 1 client is using or hasn't closed the table properly Feb 8 17:34:53 serv /etc/mysql/debian-start[2310]: blog.wp_postmeta etc... etc.....
Si je ne m’abuse, ca doit avoir un rapport avec mysql! :smt002
Mysql a semble-t’il crashé et tenté le recovery et a trouvé des tables corrompues…

pour le reste, dans la plage horaire que tu as donné, je ne constate pas grand chose à part tes cron.hourly qui se lancaient.
Sinon, côté réseau, dans les premières lignes, on voit ta carte réseau monter, donc elle n’est pas HS.

Mais regarde donc du côté de tes bases de données, si tu as fait des modifs ou s’il y a eu des évènements.

A+

#9

bonjour

l’outil de vérification de l’intégrité des
tables des bases de données mysql a trouvé des tables corrompues
soit c’est une panne electrique soit il a ete eteint comme un sauvage

lance un

et affiche le result juste pour verifier l’état de des partitions

sinon tape pour reparer

a+ gilles

#10

[quote=“Snoop”]Il a par exemple planté cet après-midi entre 13h20 et 16h30 mais pourquoi?

Voici les fichiers syslog :
http://snoopftp3.free.fr/syslog/syslog

[/quote]
Il a planté entre 13h39 et 13h49, tu n’as pas le mark. Peux tu regardé le résultat de

last

autour de çette plage horaire ainsi que le contenu de /var/log/auth.log.

Tu devrais également montrer le contenu de /var/log/daemon.log et /var/log/messages. En fait il faut voir si le gars entré sur ton FTP (8 connexions tout de même) a fait du DOS.

#11

Waow, c’est super sympa de tous vous pencher sur mon problème comme ça.

Alors pour la commande df -h :

Sys. de fich. Tail. Occ. Disp. %Occ. Monté sur /dev/hda1 259M 91M 154M 38% / tmpfs 253M 0 253M 0% /lib/init/rw udev 10M 48K 10M 1% /dev tmpfs 253M 0 253M 0% /dev/shm /dev/hda9 9,4G 3,4G 5,5G 39% /home /dev/hda8 373M 11M 343M 3% /tmp /dev/hda5 4,6G 568M 3,8G 13% /usr /dev/hda6 2,8G 554M 2,1G 21% /var

Visiblement le serveur mysql a un problème les tables de wordpress.
J’ai donc lancé la commande de gilles974 une fois de plus (mysqlcheck -p -A -r)

Il m’a listé toutes les tables de chaque bdd et précisant bien “OK” à la fin.

Voici pour les autres fichiers avec l’activité d’hier :

http://snoopftp3.free.fr/syslog/messages

http://snoopftp3.free.fr/syslog/daemon.log

http://snoopftp3.free.fr/syslog/auth.log

Dans “messages” il n’y a rien de particluier visiblement, à part à l’heure ou j’ai relancé le serveur à ma mano.

Dans le daemon.log, apparemment la connexion ftp n’a pas réussie? sinon je n’aime pas trop tous les messages warning : 1 client is using or hasn’t closed the table properly à l’allumage du serveur d’autant plus qu’il ne viennent cette fois plus tous de wordpress mais aussi d’un forum punbb qui tourne dessus et celui là je tien à le conserver en vie lol

#12

Pour les tables, ne t’inquiètes pas trop, mysql est très solide.

Par contre, je ne sais pas ce qu’essayait le gars, visiblement il a juste fait des connexions, as tu des traces dans les logs de wu-ftpd. Cependant 1/2 heure de délai ça me parait beaucoup à moins qu’il n’ait essayé une faille de ton serveur proftpd:

Je suggère un epluchage des logs de proftpd et une mise à jour du serveur d’une part et une surveillance de la machine bien sûr.

#13

Merci :slightly_smiling:

Dans le proftpd.log j’ai les tentatives de connexion ftp

Feb 08 13:07:13 serv proftpd[14079] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): FTP session opened. Feb 08 13:07:23 serv proftpd[14079] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): no such user 'Administrator' Feb 08 13:07:23 serv proftpd[14079] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): USER Administrator: no such user found from bzq-219-164-68.static.bezeqint.net [62.219.164.68] to 192.168.1.22:21 Feb 08 13:07:33 serv proftpd[14079] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): no such user 'a-lynn' Feb 08 13:07:33 serv proftpd[14079] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): USER a-lynn: no such user found from bzq-219-164-68.static.bezeqint.net [62.219.164.68] to 192.168.1.22:21 Feb 08 13:07:42 serv proftpd[14079] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): mod_delay/0.5: delaying for 2 usecs Feb 08 13:07:42 serv proftpd[14079] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): no such user 'a-lynn' Feb 08 13:07:42 serv proftpd[14079] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): USER a-lynn: no such user found from bzq-219-164-68.static.bezeqint.net [62.219.164.68] to 192.168.1.22:21 Feb 08 13:07:42 serv proftpd[14079] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): Maximum login attempts (3) exceeded Feb 08 13:07:42 serv proftpd[14079] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): FTP session closed. Feb 08 13:07:46 serv proftpd[14080]: IPv6 getaddrinfo 'serv' error: Name or service not known Feb 08 13:07:56 serv proftpd[14080] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): FTP session opened. Feb 08 13:07:57 serv proftpd[14080] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): no such user 'a-lynn' Feb 08 13:07:57 serv proftpd[14080] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): USER a-lynn: no such user found from bzq-219-164-68.static.bezeqint.net [62.219.164.68] to 192.168.1.22:21 Feb 08 13:07:57 serv proftpd[14080] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): mod_delay/0.5: delaying for 42 usecs Feb 08 13:07:58 serv proftpd[14080] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): mod_delay/0.5: delaying for 74 usecs Feb 08 13:07:58 serv proftpd[14080] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): no such user 'a-lynn' Feb 08 13:07:58 serv proftpd[14080] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): USER a-lynn: no such user found from bzq-219-164-68.static.bezeqint.net [62.219.164.68] to 192.168.1.22:21 Feb 08 13:07:58 serv proftpd[14080] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): mod_delay/0.5: delaying for 210 usecs Feb 08 13:07:58 serv proftpd[14080] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): mod_delay/0.5: delaying for 137 usecs Feb 08 13:07:58 serv proftpd[14080] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): no such user 'a-lynn' Feb 08 13:07:58 serv proftpd[14080] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): USER a-lynn: no such user found from bzq-219-164-68.static.bezeqint.net [62.219.164.68] to 192.168.1.22:21 Feb 08 13:07:58 serv proftpd[14080] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): Maximum login attempts (3) exceeded Feb 08 13:07:58 serv proftpd[14080] serv (bzq-219-164-68.static.bezeqint.net[62.219.164.68]): FTP session closed. Feb 08 13:07:59 serv proftpd[14081]: IPv6 getaddrinfo 'serv' error: Name or service not known

Ce n’est qu’une infime partie.

Le 2 février j’en ai plusieurs centaines, toujours depuis la même IP mais le serveur n’a pas planté donc je ne sais pas si c’est les 6 ou 7 tentatives qui l’on mis à genou hier

Feb 02 00:03:54 serv proftpd[29263] serv (58.229.117.56[58.229.117.56]): FTP session opened. Feb 02 00:03:55 serv proftpd[29263] serv (58.229.117.56[58.229.117.56]): no such user 'Administrator' Feb 02 00:03:55 serv proftpd[29263] serv (58.229.117.56[58.229.117.56]): USER Administrator: no such user found from 58.229.117.56 [58.229.117.56] to 192.168.1.22:21 Feb 02 00:03:55 serv proftpd[29263] serv (58.229.117.56[58.229.117.56]): mod_delay/0.5: delaying for 46 usecs Feb 02 00:03:56 serv proftpd[29263] serv (58.229.117.56[58.229.117.56]): no such user 'Administrator' Feb 02 00:03:56 serv proftpd[29263] serv (58.229.117.56[58.229.117.56]): USER Administrator: no such user found from 58.229.117.56 [58.229.117.56] to 192.168.1.22:21 Feb 02 00:03:57 serv proftpd[29263] serv (58.229.117.56[58.229.117.56]): mod_delay/0.5: delaying for 23 usecs Feb 02 00:03:57 serv proftpd[29263] serv (58.229.117.56[58.229.117.56]): no such user 'Administrator' Feb 02 00:03:57 serv proftpd[29263] serv (58.229.117.56[58.229.117.56]): USER Administrator: no such user found from 58.229.117.56 [58.229.117.56] to 192.168.1.22:21 Feb 02 00:03:57 serv proftpd[29263] serv (58.229.117.56[58.229.117.56]): Maximum login attempts (3) exceeded Feb 02 00:03:57 serv proftpd[29263] serv (58.229.117.56[58.229.117.56]): FTP session closed.