Спам соединениями с локалхоста. / Unix-системы

ReSQL.ru

2.0.61

Планшетная версия Контакт Правила FAQ Помощь

Гость

Войти | Профиль | Очистить

Нов. | Гор. | Избр.

Написать

Автор*:

Ввести пароль для входа

Тема*:

Сообщение

Данное сообщение тематическое

Сообщение содержит картинки или видео 18+

Автор:

ВНИМАНИЕ! На данном подфоруме действуют строгие правила. Удостоверьтесь, что ваше сообщение соответствует им!

Форум или тема закрыты для гостей. Необходима авторизация!

Загрузить последнюю сохраненную версию

Вставить как галерею

Максимальный размер вложений: 4,0 МБ, аудио/видео: 8,0 МБ. Картинки большего размера ужимаются, если возможно.

Введите код, изображенный на картинке. Если код нечитаемый, кликните картинку, чтобы загрузить другой вариант.

Отправляя сообщение, я выражаю свое согласие с правилами форума и принимаю пользовательское соглашение.

Действия ...

Доб. в избранное
Игнор. тему
Прикреп. тему
Пометить прочит. / непрочит.
Фильтр:
Сообщения автора темы
Сообщение содержит вложения
Сообщение содержит картинки
Сообщение содержит видеоклипы
Сообщение содержит аудиоклипы
Сообщение содержит картинки или видео 18+

Форумы / Unix-системы [игнор отключен] [закрыт для гостей] / Спам соединениями с локалхоста. / 4 сообщений из 4, страница 1 из 1

29.08.2011, 16:23

#37416330

kha0s

Гость

Спам соединениями с локалхоста.

Возникла такая вот очень серьезная проблема. На сервере стоит nginx + apache2. Апач при этом скрыт на 127.0.0.1 и принимает только локальные соединения на 8080. "Наружу" работает nginx. С недавних пор, СРАЗУ после старта апача при включенном nginx начинается какой-то зверский спам соединениями со 127.0.0.1 между nginx и apache. Вот статистика нетстата через 10 секунд после включения Апача.

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.

gladpwnz:/home/kha0s# netstat -anp |grep 'tcp\|udp' | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
      1 109.104.171.66
      1 109.120.48.2
      1 109.205.255.139
      1 109.226.118.38
      1 109.229.59.2
      1 109.60.158.15
      1 118.79.206.47
      1 176.36.200.13
      1 178.124.152.226
      
[... часть опущена ...]

      8 87.250.250.89
     10 0.0.0.0
     10 178.137.167.129
     11 213.133.98.98
     11 213.180.204.89
     11 93.158.134.89
     16 77.88.21.89
     24 91.207.6.94
    875 127.0.0.1

Через 3 секунды соединений было уже 1134! На ДДоС не похоже, т.к. даже пятикратная сумма всех остальных соединений не даст такого числа.

Вот опять пример вывода netstat -apn | grep :80

Код: plaintext

1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
11.
12.
13.
14.
15.
16.
17.
18.
19.
20.
21.
22.
23.
24.
25.

... tcp        0      0 85.10.204.75:80         85.26.184.27:33506      ESTABLISHED 15662/nginx: worker
tcp        0      0 127.0.0.1:8080          127.0.0.1:43611         CLOSE_WAIT  15744/apache2
tcp        0      0 85.10.204.75:80         77.50.65.43:54881       TIME_WAIT   -
tcp        0      0 127.0.0.1:44277         127.0.0.1:8080          TIME_WAIT   -
tcp        0      0 85.10.204.75:80         78.106.86.39:59866      ESTABLISHED 15662/nginx: worker
tcp        0      0 85.10.204.75:80         95.79.110.186:54181     ESTABLISHED 15662/nginx: worker
tcp        1      0 127.0.0.1:8080          127.0.0.1:43736         CLOSE_WAIT  15849/apache2
tcp        0      0 127.0.0.1:8080          127.0.0.1:44082         TIME_WAIT   -
tcp        0      0 85.10.204.75:80         178.137.167.129:57678   TIME_WAIT   -
tcp        1      0 127.0.0.1:8080          127.0.0.1:43709         CLOSE_WAIT  15833/apache2
tcp        0      0 127.0.0.1:43567         127.0.0.1:8080          FIN_WAIT2   -
tcp        0      0 127.0.0.1:43559         127.0.0.1:8080          FIN_WAIT2   -
tcp        0      0 127.0.0.1:8080          127.0.0.1:43808         TIME_WAIT   -
tcp        0      0 127.0.0.1:43677         127.0.0.1:8080          FIN_WAIT2   -
tcp        0      0 127.0.0.1:43555         127.0.0.1:8080          FIN_WAIT2   -
tcp        1      0 127.0.0.1:8080          127.0.0.1:43744         CLOSE_WAIT  15853/apache2
tcp        0      0 85.10.204.75:80         192.162.59.250:54523    FIN_WAIT2   -
tcp        0      0 127.0.0.1:8080          127.0.0.1:43871         TIME_WAIT   -
tcp        0      0 127.0.0.1:8080          127.0.0.1:43617         CLOSE_WAIT  15769/apache2
tcp        0      0 85.10.204.75:80         83.167.110.35:57035     ESTABLISHED 15662/nginx: worker
tcp        0      0 127.0.0.1:8080          127.0.0.1:43598         TIME_WAIT   -
tcp        0      0 127.0.0.1:8080          127.0.0.1:43613         CLOSE_WAIT  15761/apache2
tcp        0      0 85.10.204.75:80         213.135.159.58:2264     TIME_WAIT   -
tcp        0      0 127.0.0.1:8080          127.0.0.1:44162         TIME_WAIT   -
tcp        0      0 85.10.204.75:80         176.14.143.14:1713      TIME_WAIT   -
tcp        0      0 85.10.204.75:80         89.223.47.24:50222      ESTABLISHED 15662/nginx: worker ...

Начало подобного поведения ни с чем особенным в памяти не ассоциируется. Уязвимости PHP были исключены слишком ранним появлением такого поведения - сразу после старта.

Система Debian 6.0 Lenny, Nginx 1.1.0, Apache 2.2.19, PHP 5.3.8. Такое же случалось и на конфигурации Nginx 0.8 + PHP 5.3.6.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

29.08.2011, 16:28

#37416342

kha0s

Гость

Спам соединениями с локалхоста.

Появляется стойкое ощущение возникновения положительной обратной связи. Долго копал конфиги и гугл, ничего не помогло. Проблему надо решить очень срочно. Проект стоит :( Буду признателен за любую помощь.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

30.08.2011, 03:54

#37416962

netwind

Участник

Сообщения: 14 195
Рейтинг: 0 / 0

Спам соединениями с локалхоста.

kha0s, ну вот и не трогай то, что не понимаешь.

именно так и выглядит нормальная работа nginx в паре с apache.
усугубляет картину то, что nginx не может работать как клиент http/1.1. То есть nginx все время открывает и закрывает новые соединения к apache.

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

31.08.2011, 11:20

#37418724

basename

Участник

Откуда: Из браузера
Сообщения: 19 437
Рейтинг: 11 / 0

Спам соединениями с локалхоста.

kha0sВозникла такая вот очень серьезная проблема. На сервере стоит nginx + apache2. Апач при этом скрыт на 127.0.0.1 и принимает только локальные соединения на 8080. "Наружу" работает nginx. С недавних пор, СРАЗУ после старта апача при включенном nginx начинается какой-то зверский спам соединениями со 127.0.0.1 между nginx и apache. Вот статистика нетстата через 10 секунд после включения Апача.

Система Debian 6.0 Lenny, Nginx 1.1.0, Apache 2.2.19, PHP 5.3.8. Такое же случалось и на конфигурации Nginx 0.8 + PHP 5.3.6.

Что удивительного?

...

Рейтинг:

0 / 0

| Ответить | Цитировать | Написать

Читали тему (0):

Читали форум (0):

Пользователи онлайн (0):

start [/forum/topic.php?fid=25&mobile=1&tid=1484044]:	0ms
get settings:	10ms
get forum list:	16ms
check forum access:	4ms
check topic access:	4ms
track hit:	165ms
get topic data:	10ms
get forum data:	2ms
get page messages:	50ms
get tp. blocked users:	1ms
others:	234ms

total:	496ms

	Необходимые cookie
	Cookie для сбора статистики
	Cookie для маркетинга и рекламы