TS-269L geht auf 100% Leistung ...

    Hallo,
    Vermutlich sind das irgendwelche Bots, die das Internet abscannen.
    Ich habe auch manchmal Besuch aus China, Russland, Osteuropa und seit neustem auch schon einige Male vom Googlebot aus den USA.


    Greifen denn noch weitere fremde Adressen auf das NAS zu, die du niemandem zuordnen kannst oder gibt es von den beiden genannten Adressen weitere Zugriffe auf andere Seiten (moeglicherweise auch ohne den Fehlercode 404)?


    Ansonsten musst du abwarten, bis dein NAS wieder die gleichen Probleme wie die letzten Male hat und dann vor dem Neustart die access_logs Datei sichern, da diese leider bei einem Neustart ueberschrieben wird.
    Ausserdem wird diese auch irgend wann in der Nacht (ich glaube, es war 4:30) ueberschrieben. Dies sollte aber kein Problem darstellen, wenn das Problem nicht kurz vor diesem Zeitpunkt eintritt.

    Hallo,
    mittlerweile hat sich noch ein dritter Eintrag in dieser Art dazu gesellt, nochmal von irgendwo anders her. Aber von diesen drei Einträgen waren das jeweils die einzigen Zugriffe. Also ist schon anzunehmen, dass das irgendwelche Bots waren die ihre Runde gedreht haben.


    Aber die ganze Geschichte hat mich jetzt auf eine Idee gebracht und zwar wäre es doch eigentlich das einfachsten, ich grenze das Ausland aus. Die paar Hansel, die auf meinen Server gehen sind allesamt in BW und sonst hat keiner was darauf verloren. Dann läge es doch nahe, dass ich da nicht einzelne außengrenze, sondern einzelne zulasse, in dem Fall wahrscheinlich am einfachsten einmal Deutschland.
    Was hältst du von der Methode ... die Schinesen machen das ja auch so ...

    Hallo,
    Ja, das ist prinzipiell eine gute Idee, doch die Umsetzung ist nicht ganz so einfach.
    Du muesstest alle Zugriffe blockieren, ausser denen, die auf der "Erlaubt-Liste" stehen. Dieses kann das NAS ohne Probleme.
    Schwerer wird es, die IP-Bereiche zu ermitteln, die auf das NAS zugreifen duerfen.
    Denn jeder Provider hat seinen eigenen IP-Bereich. Und auch da kann sich was aendern, denn zumindest ich hatte frueher eine 77.x.x.x IP und nun eine 34.x.x.x IP, obwohl es die ganze Zeit der gleiche Provider ist.


    Eine andere Moeglichkeit waere, das Umgekehrte zu machen: alle nicht gewollten IPs sperren. Dadurch kann zumindest nicht so schnell das Problem auftreten, dass jemand, der eigl zugreifen darf, nicht mehr zugreifen kann, dafuer musst du staendig die Liste erweitern, denn es kommen immer wieder andere drauf.

    Upps ... Nee, das ist mir dann doch etwas zu müßig.
    Jetzt harre ich einmal der Dinge, die letzten Jahre ist sowas bislang noch nicht aufgetreten und jetzt wird sich halt irgend einer von irgendwo her einen Spaß erlauben. Wenn ich den dann einzelnen herausfiltern und danach Ruhe ist, wäre es ja den ganzen Aufwand nicht wert. Also mache ich mir jetzt schon einmal eine Tasse Tee ... ;)
    Dir möchte ich auf jeden Fall recht herzlich danken für deine Hilfe, wenn es demnächst wieder irgendwann bei mir die Kiste zumacht versuche ich das von dir beschriebene umzusetzen. Wenn es nicht so klappen sollte würde ich mich dann noch einmal melden. Nochmals vielen Dank!

    Das ist auch der Grund, weshalb ich auch an meinem NAS noch nichts in dieser Hinsicht eingerichtet habe. ;)
    Allerdings habe ich hier auch schon von einigen Mitgliedern gelesen, die wirklich aus diesen Zugriffslisten die Blockliste erstellen und erweitern.
    Wichtig ist ja erstmal, dass die Protokollierung nun funktioniert und du hoffentlich beim naechsten Auftreten des Problems, dass das NAS voll ausgelastet ist, in den Logs Hinweise auf den Verursacher finden kannst.

    Hallo Tobias,
    Du das ich dich noch mal was fragen ...
    Ich bin jetzt gerade dabei eine Blocklist zu erstellen, kannst du mir da einen Tipp geben bezüglich des Aufbaus?
    Schreibt man da die volle IP Adresse rein, oder ist es sinnvoller z.B. nur die ersten zwei Blöcke zu nehmen und das Gebiet großflächig abzuschirmen.


    Die access.log zu deiner Information wird bei mir übrigens nicht einmal am Tag gelöscht bzw. überschrieben, sondern fortgeführt !

    Hallo,
    Bei einer Blocklist ist es in so einem Fall auch sinnvoll, ganze Bereiche zu blockieren, denn so musst du nicht jedes Mal alle Adressen abtippen, denn oftmals kommen die Zugriffe auch immer wieder aus aehnlichen Bereichen.


    Heisst die Datei bei dir wirklich access.log? Bei mir heisst diese naemlich access_logs und wird nach jedem Neustart geleert und auch meine Versuche, dies zu verhindern, haben bisher noch nicht geholfen.
    Wenn deine wirklich fortgefuehrt wird, hat QNAP scheinbar Aenderungen an diesem System in einer der neueren Firmwareversionen durchgefuehrt.

    Hallo,
    das habe ich mir ja fast gedacht und deshalb danach gefragt. Ich gehe einmal einfach davon aus, dass die Burschen ja nicht zuhause sitzen sondern vielleicht in einem Café oder so und daher würde ja die genaue Adresse ins uferlose ausarten.
    Also wenn ich das richtig sehe statt z.B.: 192.178.45.65 -> 192.178.0.0 ist das so o.k.?
    Ich hab jetzt diesbezüglich auch mal noch etwas geschaut, da gibt es ganze Listen voll mit IPAdressen, gibt es da eine Möglichkeit auch eine Liste einzugeben, weil einzeln die Adressen alle reinklöppeln ist ja Oh der Aufwand.


    Und die access.log heißt tatsächlich bei mir so und sammelt seit dem 21.2 - 5:30 fleißig Daten !

    Hallo,
    Wie man ganze Bereiche in der Blockliste sperrt, weiss ich nicht. Ich weiss nur, dass es geht, weil ich dies hier im Forum schon einige Male lesen konnte.
    Listen kann man vermutlich nicht importieren, doch da ich das auch noch nie versucht habe und diesbezueglich auch nichts gelesen habe, kann ich dir da auch keine ganz sichere Antwort zu geben.
    Bei diesen Punkten muss dir jemand helfen, der schon mit dem Sperren von IPs gearbeitet hat.


    Aber dass die access.log wirklich fortgefuehrt wird, finde ich doch interessant... Zu schade, dass das nicht schon in der 3.7.3 so funktioniert, denn ich habe schon etliche Stunden geopfert, um eine Loesung dafuer zu finden.

    Jetzt ist es wieder aufgetreten und dieses Mal konnte ich die Log-Datei sichern.
    Zu meiner Verwunderung war da aber gar nichts ungewöhnliches drin, also bin ich jetzt mal mit Putty auf die NAS um zusehen was der eigentlich läuft und die Ressourcen verbraucht.
    Im Anhang zwei Bilder, im einen ist der apache gleich viermal zugange und macht mir die Kiste zu, das zweite Bild ist nach dem Neustart aufgenommen.
    Nun kann ich die leider nicht auswerten, aber vielleicht du oder jemand anderes der sich damit auskennt !

    Hallo,
    was heisst denn, dass es da nichts aussergewoehnliches drin gab?
    Wenn der apache-Prozess eine so starke Auslastung hat, wuerde ich mir das dadurch erklaeren, dass jemand extrem viele Zugriffe gemacht hat.


    Die andere Idee, die mir noch kam, ist, dass moeglicherweise irgendein Script zu lange laeuft und daher so viel Auslastung verursacht.
    Du entwickelst ja auch Webseiten. Schreibst du denn da auch z.B. PHP-Scripts? Ich habe es schonmal geschafft, den Webserver lahmzulegen, indem ich eine Endlosschleife in einem von mir entwickelten Script hatte und dieses, weil es nicht laden wollte, einige Male aufgerufen habe. Dadurch lief nun das Script mit ziemlich hoher Auslastung so lange, wie in der php.ini als maximale Ausfuehrzeit eingestellt ist und es waren kaum weitere Zugriffe auf den Webserver moeglich.

    Hallo Tobias,
    also überwiegend arbeite ich mit Joomla und da mache ich nur die Templates. Was ich jetzt vor kurzem einmal installiert habe ist das "Fengoffice", da habe ich die letzten Tage auch öfters darauf zugegriffen. Das kommt allerdings nicht infrage und wird wieder gelöscht. Sonst läuft bei mir nur noch Piwik, aber auch auf das kann ich eigentlich verzichten. Jetzt werde ich einfach mal der Reihe nach alle Applikationen deinstallieren oder ausschalten vielleicht bringt mich das weiter ...

    Hallo,
    Vermutlich koennen dir aber auch die Access-Logs bei der Suche nach dem entsprechenden Programm helfen, denn dort steht ja drin, was du als letztes aufgerufen hast.
    Ausserdem wirst du nur bei den Applikationen. Suchen muessen, die ueber den Webserver laufen. Alles andere ist uninteressant, da ja nur der apache-Prozess die ganze Auslastung erzeugt hat.

    Hallo,
    hast recht, für die Applikation die auf dem Server läuft hat mit Appach nichts zu tun.
    Wenn ich die jetzt einmal herausnehme, bleiben unzählige Einzelseitenanfragen, die meisten davon werden aber nicht mehr gefunden da nicht mehr vorhanden.
    Dann bleibt nicht mehr viel übrig und daraus kann ich leider keine Rückschlüsse ziehen. Aber du hast mir mit deinem Tipp wieder mal weitergeholfen. Jetzt warte ich auf das nächste Mal, vielleicht bringt mich das dann weiter.

    Um die Sache einmal zu Ende zu bringen, ich denke ich habe jetzt lange genug gewartet.
    Der Leistungsanstieg ist bisher nicht mehr aufgetreten und damit möchte ich die Geschichte abhaken.
    An was das nun lag vermag ich definitiv nicht zu sagen, die Log-Datei in der das wahrscheinlich gestanden hätte, habe ich ja aus Versehen gelöscht und die aktuelle ... Naja jetzt tut's ja wieder ...


    Auf jeden Fall möchte ich mich noch einmal recht herzlich für die Hilfe bedanken !
    Gelernt habe ich allemal wieder ein bisschen dabei. :thumb: