Trouver ce qui fait crasher mon serveur (attaque? bug?)

Discussion dans 'Administration d'un site Web' créé par pharrell, 9 Février 2017.

  1. pharrell
    pharrell WRInaute discret
    Inscrit:
    26 Novembre 2011
    Messages:
    98
    J'aime reçus:
    0
    Bonjour,

    J'ai plusieurs sites hébergés chez 1and1, en serveur dédié. Tous sous Wordpress sauf un sous Prestashop (mais je ne m'en sers plus depuis longtemps)

    Récemment, 1 and 1 a mis à jour les serveurs, mes sites passant ainsi à PHP 7.0 et MySQL5.5. J'en ai profité pour passer à la dernière version de Wordpress dimanche dernier.

    Tout se passe bien, mais mardi matin : "Erreur de connexion à la base de données". 1and1 relance le serveur, et tout rentre dans l'ordre. Entre temps j'essaye de trouver le problème, mais n'y connaissant quasiment rien, c'est compliqué.

    Tout à l'heure, le même problème revient, donc nouvel appel à 1and1, et j'essaye à nouveau de tirer un peu plus d'infos pour pouvoir chercher d'où ça vient.
    Il arrive juste à me dire que ça vient de mon site principal, qu'en effet des tables de la base de données ont crashé, et qu'en fait ça vient d'un dépassement de la mémoire.

    Je ne sais pas trop où chercher.

    Dans les logs (du ftp) , je vois que j'ai beaucoup de requetes :
    Code:
    HEAD /nom-article/?utm_source=feedburner&utm_medium=feed&utm_campaign=Feed%3A+**********29 HTTP/1.0″ 200 – www.*****.com « – » « Wget/1.12 (linux-gnu) » « -« 
    provenant toutes de la même IP, vers les articles les plus récents publiés dans le RSS

    Ce qui est encore plus étrange, c’est quand je fais une recherche sur l’IP, il s’agit de l’adresse IP d’un gros site (qu’on pouvait considérer comme l’un de mes concurrents il y a quelque temps car l’une des catégories du site était équivalent à la mienne, mais cette catégorie a disparu depuis plusieurs mois)


    Pour le moment j'ai bloqué l'IP depuis Wordfence, qui se connectait environ 1 fois par seconde ("34429 hits before blocked")

    Donc mes questions :
    - Vous pensez que cela peut venir de ça ?
    - Comment faire pour au moins trouver un début de piste, où regarder ?

    Merci d'avance
     
  2. pharrell
    pharrell WRInaute discret
    Inscrit:
    26 Novembre 2011
    Messages:
    98
    J'aime reçus:
    0
    Je suis en "Serveur 2012 L 2 Core Clé-en-main" ("infogéré")

    Je préfère qu'ils gèrent eux-même car comme je l'ai dit, je ne m'y connais pas du tout en serveur, donc ça m'arrange.
    Et donc oui, quand mon serveur tombe, c'est eux qui le relancent. ça ne m'étais jamais arrivé (depuis 4-5 ans), mais là donc ça fait 2 fois en 5 jours.
    J'étais passé sur un dédié car le mutualisé ne suffisait plus.


    Et donc pour ce que tu dis de regarder, les logs apache c'est bien ce que je trouve sur le ftp dans le dossier "logs", à savoir les fichiers du genre access.log.** ?
    Car donc je les ai regardé et je ne sais pas ce que je dois y trouver d'anormal juste avant le crash.
    La chose qui me parait bizarre c'est celle que je cite, la requête "HEAD" toujours faite par la même IP. Et cette IP n'a pas l'air de faire autre chose. Enfin je vais peut-être regarder d'autres fichiers log. Là ça en est à 3284 accès bloqués depuis tout à l'heure pour cette IP.


    pour les journaux SQL, où les trouver ? Je vais dans PhPmyadmin je suppose, mais qu'est ce que je dois faire. De plus, comme les serveurs ont été rebootés, est-ce qu'il est encore possible de trouver quelque chose?
     
  3. madri2
    madri2 WRInaute impliqué
    Inscrit:
    29 Décembre 2007
    Messages:
    837
    J'aime reçus:
    0
    si 1 requete par seconde fait tomber le serveur, c'est qu'il est pas solide
     
  4. pharrell
    pharrell WRInaute discret
    Inscrit:
    26 Novembre 2011
    Messages:
    98
    J'aime reçus:
    0
    oui mais justement, je ne sais pas si c'est ça...

    il y a un endroit où je pourrai voir l"utilisation mémoire" ? et comme ça en désactivant 1 à 1 les plugins par exemple, je verrai si cela provient de l'un d'eux (tous mes plugins sont des plugins suivis et connus, sauf 1 mais je n'arrive pas à en trouver un équivalent)
     
  5. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 800
    J'aime reçus:
    30
    Il faut installer munin et/ou netdata.
     
  6. madri2
    madri2 WRInaute impliqué
    Inscrit:
    29 Décembre 2007
    Messages:
    837
    J'aime reçus:
    0
    si tu paie pour de l'infogérence, ils sont pas censés s'en occuper ?
     
  7. pharrell
    pharrell WRInaute discret
    Inscrit:
    26 Novembre 2011
    Messages:
    98
    J'aime reçus:
    0
    Bon en effet ça n'était pas ce dont je parle plus haut, car malgré avoir laissé l'IP bannie, le serveur a crashé hier

    En plus je pensais que 1&1 pouvait rebooter le serveur 24h/24 7J/7, mais en les appelant le mec au téléphone m'a dit qu'il ne pouvait rien faire, que les gars de la technique seraient de retour lundi. J'ai un peu insisté en disant que je ne pouvais pas laisser mon site hors ligne tout le weekend... Il m'a seulement dit "ok, j'essaye de faire quelque chose, et au mieux ça devrait être revenu demain vers 12h, mais c'est pas sûr"

    (entre temps j'ai mis une page maintenance, mais c'est pas bon du tout pour le référencement google ça non?)


    Ceux du service technique doivent me rappeler lundi pour essayer de trouver une solution.

    Merci pour les 2 solutions données Spout mais en regardant un peu ça a l'air de largement dépasser mes capacités... :(

    Je suis en train de mettre mon thème à jour, ça aurait pu venir de ça aussi ?

    J'ai testé différents plugins wordpress de visualisation de la mémoire utilisée, mais ça ne m'avance pas plus.


    madri2 > De s'occuper de quoi ? Je ne sais pas trop jusqu'à où ils doivent intervenir. Et pour l'instant je voudrais juste qu'ils me donnent au moins une piste, pour savoir où regarder... Enfin j'ai réussi à savoir de quelle base de données / site l'erreur venait, c'est déjà ça au moins
     
  8. spout
    spout WRInaute accro
    Inscrit:
    14 Mai 2003
    Messages:
    8 800
    J'aime reçus:
    30
    Change d'infogérant
     
  9. pharrell
    pharrell WRInaute discret
    Inscrit:
    26 Novembre 2011
    Messages:
    98
    J'aime reçus:
    0
    En fait j'avais un mutualisé avant, j'étais passé sur un dédié pour que ça passe mieux au niveau du nombre de visiteurs...

    Pour être franc je suis assez satisfait à part 1 fois il y a 3 ans et actuellement quoi.


    Tout à l'heure, ça a recommencé à merder (après que mon site soit redevenu opérationnel vers 12h)
    Je les ai donc appelé en insistant à nouveau pour avoir + d'infos. Cette fois le mec a pu voir qu'un plugin (wordfence) utilisait quasiment toute la mémoire. en le désactivant ça redevenait OK.
    Donc je l'ai viré, on verra si ça tient.
    Comme je l'ai dit rien ne prouve que ça vient d'eux pour l'instant, c'est plutôt de mon côté (plugin). Ils doivent me rappeler demain.
     
  10. NicolasH
    NicolasH WRInaute discret
    Inscrit:
    4 Mai 2016
    Messages:
    95
    J'aime reçus:
    1
    Bonsoir,

    Tu as p-e des attaques de type DDOS. Le fichier xmlrpc.php est souvent attaqué. Supprime le (ou renomme le) si tu ne le l'utilises pas.
     
  11. madri2
    madri2 WRInaute impliqué
    Inscrit:
    29 Décembre 2007
    Messages:
    837
    J'aime reçus:
    0
    supprimer ne sert à rien il reviendra à chaque maj, il faut interdire l'accès directement depuis la conf apache/nginx/autre
     
  12. NicolasH
    NicolasH WRInaute discret
    Inscrit:
    4 Mai 2016
    Messages:
    95
    J'aime reçus:
    1
    Madri2 >>
    La suppression c'est moyen rapide de savoir si le problème vient de là mais sinon tu as raison ^^
     
  13. pharrell
    pharrell WRInaute discret
    Inscrit:
    26 Novembre 2011
    Messages:
    98
    J'aime reçus:
    0
    Bon au final le problème venait de Wordfence (le plugin de sécurité).

    Je l'ai donc supprimé et depuis 10 jours je n'avais pas de problème. Mais je n'avais plus de plugin de sécurité, j'en ai installé un autre jeudi : iThemes.

    Mais hier, le problème est revenu, je pense donc que ces plugins de sécurité usent beaucoup de ressources.

    Le gars de 1&1 m'a redit que mon serveur n'était plus adapté, ils ne le font même plus d'ailleurs. Il me dit qu'il faudrait que je passe à un serveur à 55€HT/mois (là je paye 25€HT/mois)

    Il doit s'agir du "Hosting XXL" :

    CPU 4 vCores, RAM8 Go, SSD 160 Go, Trafic entrant et sortant illimité, Systèmes d'exploitation Linux,Connexion réseau interne de 10 Gbits/s, Architecture Technologie de virtualisation VMware, Processeurs Intel® Xeon® : Intel® Xeon® E5-2660 v2 et Intel® Xeon® E5-2683 v3


    Là je suis sur un serveur L 2 core (je ne trouve plus les infos exactes). Vous pensez vraiment que le serveur est trop petit ou le gars me dit de passer à un truc supérieur car il veut me vendre ça ?
    Je n'ai jamais eu trop de problème à ce niveau depuis que je suis chez eux, mais c'est vrai que je n'ai pas beaucoup de plugins installés.

    J'ai une moyenne de 2000 visiteurs par jour
     
  14. NicolasH
    NicolasH WRInaute discret
    Inscrit:
    4 Mai 2016
    Messages:
    95
    J'aime reçus:
    1
    Il y a p-e des choses à optimiser au niveau du code et de la base de données mais c'est pas toujours simple avec un CMS.
    Il faut voir si le cache coté CMS est bien réglé ainsi que celui du serveur web.

    Niveau hardware :
    Un 2C peut largement suffire mais il faudrait quand même plus de détails sur ton offre actuelle.

    Actuellement à 30€ HT / mois tu as des dédiés 4C (voir 6) Xeon 3Ghz 16go ram (voir 32go) avec 120Go SSD chez les gros hébergeurs.
    Après il faut voir ce qu'il y a à coté : qualité du service, réactivité, support, ...
     
  15. pharrell
    pharrell WRInaute discret
    Inscrit:
    26 Novembre 2011
    Messages:
    98
    J'aime reçus:
    0
    Samedi, après près d'un mois sans soucis, le problème est revenu (le serveur a dû être relancé)
    Alors que je n'ai pas remis de plugin de sécurité

    Ce qui m'embête c'est que tout tourne bien sinon...

    Je ne retrouve pas les infos exactes de mon serveur car il n'est plus commercialisé. En cherchant dans mes anciens messages, j'ai trouvé ça ici : AMD Dual-Core 2 cœurs x 2,2 GHz 2 Go DDR2 . Que je paye donc 35€ TTC/mois

    Et donc je pense qu'ils me conseillent de passer au "Managed Cloud Hosting XXL" (4 Cores Intel® Xeon®, 8 Go de RAM, 160 Go de stockage SSD, Service Managed) à 65,99€TTC/mois
    https://www.1and1.fr/cloud-hosting#packs

    Je pense que là aussi je n'ai pas à m'occuper de la gestion du serveur, ce qui m'arrange.

    Pourquoi chez OVH c'est beaucoup moins cher ?
    https://www.ovh.com/fr/hebergement-web/hebergement-performance.xml

    Le Performance 4, avec à peu près les mêmes caractéristiques que celles que je viens de citer est à 40€TTC/mois
    Mais est-il aussi "infogéré"?

    J'ai environ 2000 visiteurs/j, 3500 pages vues. Si je lis ce qui est indiqué sur la page OVH, j'ai l'impression que même le 1er serveur suffirait...
     
  16. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 927
    J'aime reçus:
    2
    Euh 2000v/j et on te demande de passer sur un dédié a 65€/mois ? 8O
     
  17. pharrell
    pharrell WRInaute discret
    Inscrit:
    26 Novembre 2011
    Messages:
    98
    J'aime reçus:
    0
    oui voilà...

    enfin ils me disent que mon serveur actuel n'est plus valable, mais que c'est le seul truc au-dessus qui irait...
     
  18. madri2
    madri2 WRInaute impliqué
    Inscrit:
    29 Décembre 2007
    Messages:
    837
    J'aime reçus:
    0
    cat /proc/cpuinfo
    pour savoir le cpu

    mais du dual core ça semble bien vieux :)
     
  19. NicolasH
    NicolasH WRInaute discret
    Inscrit:
    4 Mai 2016
    Messages:
    95
    J'aime reçus:
    1
    C'est un dual core mais aussi la ram DDR2 qui me fait dire que ton serveur date vraiment... ^^

    Concernant le prix il faut aussi voir le service pas uniquement le coté hardware.

    Tu peux aussi regarder les offres VPS des hébergeurs, ils proposent pour la plupart une possibilité d'installer une distribution via une interface de gestion (cela se fait en 1 clic ou presque).
    Il faut aussi penser au backup, c'est d'ailleurs le plus important. Là pareil, les hébergeurs proposent des systèmes de sauvegardes automatisés (souvent en option).

    Tu peux aussi partir sur un serveur dédié avec un 2ème serveur dédié aux backups. Tu peux t'en tirer pour moins de 40€ HT / mois et tu auras beaucoup mieux qu'un vieux dual core. Pas contre tu n'auras pas d'infogérance à ce prix là.
     
  20. pharrell
    pharrell WRInaute discret
    Inscrit:
    26 Novembre 2011
    Messages:
    98
    J'aime reçus:
    0
    Merci,

    Donc j'ai vu avec eux, chez 1and1 je devrais prendre un pack "Performance L" à 79,99€ HT /mois :

    Intel®Xeon® E3-1270 V3
    4 cœurs (HT) x 3,5 GHz
    16 Go de RAM
    DDR3 ECC
    2 x 1 To SATA
    Software RAID 1

    En effet il me faut quelque chose en infogéré, car j'ai 0 connaissances à ce niveau.

    J'ai fait un devis chez OVH, mais au final on arrive quasiment au même prix (avec justement les VPS dont tu parles NicolasH) , et en devant utiliser Plesk (je pense que je m'en sortirais mais autant éviter cette contrainte)
     
  21. NicolasH
    NicolasH WRInaute discret
    Inscrit:
    4 Mai 2016
    Messages:
    95
    J'aime reçus:
    1
    Il y a l'infogérance dans ton pack ?
     
  22. pharrell
    pharrell WRInaute discret
    Inscrit:
    26 Novembre 2011
    Messages:
    98
    J'aime reçus:
    0
    Oui, enfin si je me souviens bien...

    Car en fait en ayant le mec de 1and1 au tel, on regardait les packs là :

    https://www.1and1.fr/server-dedicated-tariff
    et il me disait qu'il fallait partir sur le L4i (je ne sais plus pourquoi) à 59,99€/mois

    Puis ensuite il m'a dit qu'il fallait ajouter 10€/mois pour l'infogérance. Et ensuite il s'est rendu compte que c'était des offres seulement pour les nouveaux clients, dans le cadre d'un changement de pack ça n'était pas possible, je n'ai pas ce choix d'offres

    (j'ai dit que je pouvais me barrer temporairement chez kkun d'autre, puis revenir pour avoir les promos, mais je ne me sens pas de faire tous les transferts et tout...)

    En effet quand je me connecte à mon interface et que je vais dans upgrader mon pack, le moins cher est celui-ci :

    Performance L :
    Intel®Xeon® E3-1270 V3
    4 cœurs (HT) x 3,5 GHz
    16 Go de RAMDDR3 ECC
    2 x 1 To SATA
    Software RAID 1

    à 79,99€ HT (en espérant que ça comprend bien l'infogérance) avec 3 mois à 1/2 prix
     
  23. NicolasH
    NicolasH WRInaute discret
    Inscrit:
    4 Mai 2016
    Messages:
    95
    J'aime reçus:
    1
    D'accord. En tout cas il faut bien se renseigner sur l'infogérance, si c'est activé pour toi et ce que le service contient réellement.

    Sinon j'ai l'impression que tu vises un peu haut niveau hardware car à 30€ HT / mois sans infogérance, tu as des serveurs qui pourront faire largement tourner tes sites chez les concurrents (proc moins performants que le E3 1270 mais ils devraient largement suffire dans ton cas).

    https://www.online.net/fr/serveur-dedie/dedibox-classic
    https://www.soyoustart.com/fr/offres/e3-ssd-2.xml
    https://express.ikoula.com/fr/serveur-dedie#xeon
    ...

    Il faut vraiment voir ce que t'apporterait l'offre 1&1 mise à part un proc plus rapide car c'est quand même plus du double du prix.
     
  24. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 927
    J'aime reçus:
    2
    En même temps une infogérance qui te dit de prendre un hébergement plus cher alors que tu as 2000v/j, je n'aurais pas spécialement envie de mettre 80€/mois chez eux.
    Comme dit plus haut tu dois surtout trouver l'origine du problème, si tu ne veux pas payer plus cher par mois et rencontrer encore les mêmes soucis.

    Combien de pages vues par jour ? essentiellement du select pour bcp d'insert et update? des requêtes lourdes ?
    Sur ovh j'ai eu des sites avec 10 000 visiteurs/jour sur mutualisé et ils n'étaient même pas optimisés au niveau sql.
     
  25. pharrell
    pharrell WRInaute discret
    Inscrit:
    26 Novembre 2011
    Messages:
    98
    J'aime reçus:
    0
    En fait c'était 2Go de RAM que j'avais

    Oui comme j'ai dit plus haut je pense que les serveurs proposés sont surdimensionnés pour moi, mais qu'il n'y a pas plus petit.
    Enfin là le serveur a à nouveau crashé ce weekend. j'ai eu quelqu'un d'autre et j'ai expliqué mon problème.

    Il m'a dit qu'il y avait en fait des offres + petites mais il ne les proposaient qu’exceptionnellement (bizarre c'est vrai)
    J'ai donc pris un truc 4Go de RAM et 4 coeurs à 59€/mois

    Il m'avait aussi proposé de repartir sur des serveurs mutualisés pour moins cher ou bien aussi pour 10€ moins cher de ne pas updater mon pack mais d'en prendre un nouveau puis de tout transférer. Mais j'avoue que je n'avais pas envie de galérer à nouveau...

    Mon problème c'est que j'ai besoin de l'infogérance.
    Comme j'ai dit plus haut, j'ai aussi fait un devis chez OVH et ça retombait au même prix.

    J'avais aussi regardé chez Ikoula mais jdéà je n'y comprend pas grand chose à ce que je dois prendre.
    Et ici aussi je devrai au minimum ajouter Plesk à 9,99€/mois

    Bon en fait c'est que je suis un peu pris par le temps, je ne veux pas que mes sites soient down tous les 4-5 jours.

    Je vais rester chez 1and1 1an et pendant cette période je regarderai ailleurs ce qu'il y a (et me pencherai sur Plesk ou autres possibilités)
     
  26. noren
    noren WRInaute accro
    Inscrit:
    8 Avril 2011
    Messages:
    2 927
    J'aime reçus:
    2
    Mais as tu identifié (toi ou l'infogérant) la cause exacte de ses crash ? Comme indiqué il y a de fortes chances que ça ne vienne pas du hardware mais du software. Sauf si le hardware est défectueux :mrgreen: