Portál AbcLinuxu, 5. května 2025 15:52

Dotaz: Apache - velké množství odchozích spojení

25.2.2011 16:53 none
Apache - velké množství odchozích spojení
Přečteno: 14061×
Odpovědět | Admin
Ahoj!

Denska jsem si všiml, že se mi na webserveru načítají velmi pomalu stránky. V nestatu jsem našel několik tisíc spojení: 
tcp        0      0 xxx.xxx.xxx.xxx:37014     222.122.39.161:80       TIME_WAIT  
tcp        0      0 xxx.xxx.xxx.xxx:44260     209.85.148.103:80       TIME_WAIT  
tcp        0      1 xxx.xxx.xxx.xxx:48150     121.14.152.46:80        SYN_SENT
A také IPv6, jestli to dobře chápu: 
tcp6       0      0 xxx.xxx.xxx.xxx:80        88.71.83.126:53294      TIME_WAIT  
tcp6       0      0 xxx.xxx.xxx.xxx:80        89.74.188.233:1620      TIME_WAIT  
tcp6       0      0 xxx.xxx.xxx.xxx:80        219.131.173.94:1139     FIN_WAIT2
Tohle je výstup z apache statusu: 
1-0     13473   2/5/5   K       0.01    13      30      0.0     0.01    0.01    118.123.215.166 xxx.xxx.xxx     POST http://r.admob.com/ad_source.php HTTP/1.1
2-0     13474   1/8/8   C       0.02    1       1667    20.0    0.12    0.12    212.117.168.22  xxx.xxx.xxx     GET http://tib.dodlive.mil/2010/12/20/my-hero/comment-page-1/?r
3-0     13475   0/2/2   W       0.02    10      0       0.0     0.00    0.00    76.73.4.18      xxx.xxx.xxx     GET http://www.ku70.com/ HTTP/1.1
4-0     13476   4/4/4   K       0.00    1       110     14.5    0.01    0.01    193.110.115.58  xxx.xxx.xxx     GET http://dreamscity.combats.com/main.pl?rnd=0.448367925421856
5-0     13477   0/0/0   W       0.00    13      0       0.0     0.00    0.00    109.104.179.219 xxx.xxx.xxx     GET http://www.moterostrailmadrid.es/modules.php?name=Reviews&r
6-0     13478   3/4/4   K       0.01    0       4987    9.4     0.01    0.01    219.134.238.38  xxx.xxx.xxx     GET http://c.baidu.com/c.gif?t=0&q=%B6%AB%DD%B8%D1%B9%BB%FAB%EA
7-0     13479   1/8/8   C       0.02    0       375     20.9    0.12    0.12    89.74.188.233   xxx.xxx.xxx     GET http://purepleasure.pl/posting.php?mode=post&f=122 HTTP/1.0
9-0     13481   0/2/2   W       0.00    1       0       0.0     0.00    0.00    204.45.109.18   xxx.xxx.xxx     GET http://www.ku70.com/Taocao/ HTTP/1.1
Návštěvnost mých stránek je mizivá. Když povypínám všechny vhosty a nechám jen defaultní vhost bez obsahu, pak je situace stejná. Pokud vypnu Apache, tak postupně vše odezní (zmizí z nestatu). Pokud pustím lighttpd, pak je situace stejna (jeden vhost do prázdného adresáře). V obou případech bez podpory PHP. V čem to může být? Podle tcpdumpu jsou také spojení z mého serveru.

Díky.

Řešení dotazu:

Nástroje: Začni sledovat (0) ?Zašle upozornění na váš email při vložení nového komentáře.

Odpovědi

MMMMMMMMM avatar 25.2.2011 17:33 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
Odpovědět | | Sbalit | Link | Blokovat | Admin
nefunguje tvůj apache jako proxy server? co říká access log apache? (snad to není příliš mimo mísu) :)
Linux Dokumentační Projekt - PDF ke stažení
25.2.2011 18:17 none
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
To me taky napadlo - disabloval jsem moduly mod_proxy, proxy_http a proxy_html a vysledek zadny. Apache_log chrli: 
76.73.108.42 - - [25/Feb/2011:18:16:59 +0100] "GET http://chek.zennolab.com/proxy.php HTTP/1.1" 200 271 "RefererString" "Mozilla / 4.0"
212.95.32.234 - - [25/Feb/2011:18:16:57 +0100] "GET http://www.pornbling.com/ HTTP/1.0" 200 66865 "-" "Opera/9.63 (Windows NT 6.1; U; ru) Presto/2.1.1"
112.81.56.247 - - [25/Feb/2011:18:16:54 +0100] "GET http://blog.china.alibaba.com/blog/a344481/click.html?iframe_delete=true HTTP/1.1" 200 750 "http://a344481.blog.china.alibaba.com/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.7.6)"
218.204.58.60 - - [25/Feb/2011:18:16:59 +0100] "GET http://ads.adonion.com/serving/zone.php?ob=1&zone_id=36623&user_id=16883&site_id=14741&random=8998 HTTP/1.0" 200 531 "http://www.naturalnews.com/Report_Breast_Cancer_Deception_13.html" "Windows-RSS-Platform/2.0 (MSIE 8.0; Windows NT 6.0)"
92.62.114.45 - - [25/Feb/2011:18:16:58 +0100] "GET http://www.google.com/search?client=navclient-auto&ch=6-351446600&features=Rank&q=info:bloodandhonor.cs-mapping.com.ua HTTP/1.0" 403 5148 "http://www.google.com/search?client=navclient-auto&ch=6-351446600&features=Rank&q=info:bloodandhonor.cs-mapping.com.ua" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90)"
212.117.168.183 - - [25/Feb/2011:18:16:57 +0100] "POST http://westly2006.com/wp-comments-post.php HTTP/1.1" 302 852 "http://westly2006.com/?p=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
212.95.32.92 - - [25/Feb/2011:18:16:58 +0100] "POST http://www.chabadgz.org/ch/MessageSave.asp?MemberID=0 HTTP/1.1" 200 340 "http://www.chabadgz.org/ch/MessageWrite.asp" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
79.41.196.98 - - [25/Feb/2011:18:16:59 +0100] "GET http://119.161.12.193/config/login?.patner=sbc&login=_frank__rizzo_&passwd=football&.save=1 HTTP/1.0" 999 6304 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.5) Gecko/20091102 Firefox/3.5.5"
175.42.64.199 - - [25/Feb/2011:18:16:59 +0100] "GET http://ptlogin2.qq.com/login?u=1049663385&p=1753E57A6FD8847A31B0695AC811C35B&verifycode=ttne&webqq_type=1&remember_uin=1&aid=8000203&u1=http%3A%2F%2Fweb2.qq.com%2Floginproxy.html%3Frun%3Deqq%26strong%3Dtrue&h=1&ptredirect=0&ptlang=2052&from_ui=1&pttype=1&dumy=&fp=loginerroralert HTTP/1.1" 200 365 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; zh-CN; rv:1.9.2.8) Gecko/20100722 Firefox/3.6.8"
25.2.2011 18:46 camel1cz | skóre: 25
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
Ten apache FUNGUJE jako proxy... viz. citovaný log výše.

Prozkoumejte konfiguraci apache a zakažte mod_proxy_html, popř. pokud modul potřebujete, nakonfigurujte jej nějak lidsky.

V tomhle případě bych začal od init scriptu a stopoval jaká konfigurace se reálně používá. Je docela možné, že je server kompromitovaný popř. má nějak nestandardně (nedistrubučně) upravenou konfiguraci a ten modul se nahrává někde jinde.
25.2.2011 21:25 none
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
Ano, pusobi to tak, ale nikde se module proxy nenacita: 
/etc/apache2# apache2ctl -f /etc/apache2/apache2.conf -e debug
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module alias_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module auth_basic_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module authn_file_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module authz_default_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module authz_groupfile_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module authz_host_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module authz_user_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module autoindex_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module cgi_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module deflate_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module dir_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module env_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module mime_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module negotiation_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module php5_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module reqtimeout_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module rewrite_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module setenvif_module
[Fri Feb 25 21:16:59 2011] [debug] mod_so.c(246): loaded module status_module
Nebo: 
/etc/apache2# apache2ctl -t -D DUMP_MODULES
Loaded Modules:
 core_module (static)
 log_config_module (static)
 logio_module (static)
 mpm_prefork_module (static)
 http_module (static)
 so_module (static)
 alias_module (shared)
 auth_basic_module (shared)
 authn_file_module (shared)
 authz_default_module (shared)
 authz_groupfile_module (shared)
 authz_host_module (shared)
 authz_user_module (shared)
 autoindex_module (shared)
 cgi_module (shared)
 deflate_module (shared)
 dir_module (shared)
 env_module (shared)
 mime_module (shared)
 negotiation_module (shared)
 php5_module (shared)
 reqtimeout_module (shared)
 rewrite_module (shared)
 setenvif_module (shared)
 status_module (shared)
Syntax OK
25.2.2011 21:36 camel1cz | skóre: 25
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
To je dost zvláštní - je apache kompilovaný ručně? Pokud ne, doporučil bych kontrolu integrity nainstalovaných souborů (v debu na to máme debsums), popř. reinstalaci binárek.

Ten mod_proxy tam být musí, apache sám neumí servovat remote URL. Všiml sem si mod_rewrite - ten taky umí udělat paseku, ale IMO také bez mod_proxy remote URL nezvládne...
25.2.2011 23:42 none
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
Apache je distribucni. Integritu jsem kontroloval, zda se byt v poradku: 
# debsums -s
debsums: no md5sums for binutils
debsums: no md5sums for dhcp3-client
debsums: no md5sums for doc-debian
debsums: no md5sums for libdb4.5
debsums: no md5sums for mawk
debsums: no md5sums for netbase
Zkusil jsem i vypnout mod_rewrite, odinstaloval jsem mod_proxy (libapache2-mod-proxy-html).
26.2.2011 00:03 camel1cz | skóre: 25
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
Podle mého to je hack... ty balíčky bez md5sums jsem někde už viděl...

To samé se mi stalo tak před rokem - ale můj apache je hodně nestandardně nastavený a nefungovalo to - přišel mi alert o neběžícím apache. Rychlý fix je reinstalace těch balíčků bez md5 a nalezení a odstranění podvržených binárek (tuším celý apache)

Ale aby jsme si byli jistí - opravdu dobrý nápad je zkusit to: 
telnet <server> 80

# a napsat:
GET http://www.google.com/ HTTP/1.0

# a 2x enter
Mělo by to buď zařvat chybu a nebo vrátit lokální stránku - pokud vrátí google.com, tak je problém...
25.2.2011 21:34 none
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
Pokud pustim apache s jednim virtualem s documentroot ve /var/www, tak v logu mam tyhle chybovky: 
[Fri Feb 25 21:33:06 2011] [error] [client 89.74.188.233] script '/var/www/index.php' not found or unable to stat, referer: http://www.arpin.com/index.php
[Fri Feb 25 21:33:06 2011] [error] [client 72.130.126.126] File does not exist: /var/www/FAQ, referer: http://www.anontalk.se/shitlisted
[Fri Feb 25 21:33:06 2011] [error] [client 76.73.4.34] File does not exist: /var/www/index.html, referer: www.google.com
[Fri Feb 25 21:33:07 2011] [error] [client 79.86.16.83] Attempt to serve directory: /var/www/
[Fri Feb 25 21:33:07 2011] [error] [client 83.169.12.178] File does not exist: /var/www/search, referer: http://search.yahoo.com/search?p=id.com+inurl:article.htm&sm=Yahoo%21+Search&fr=FP-tab-web-t&toggle=1&cop=&ei=UTF-8
[Fri Feb 25 21:33:07 2011] [error] [client 204.45.109.18] File does not exist: /var/www/index.html, referer: www.google.com
[Fri Feb 25 21:33:07 2011] [error] [client 72.130.126.126] File does not exist: /var/www/spell_checking, referer: http://www.anontalk.se/shitlisted
[Fri Feb 25 21:33:07 2011] [error] [client 209.190.31.67] File does not exist: /var/www/client
[Fri Feb 25 21:33:07 2011] [error] [client 83.169.12.178] File does not exist: /var/www/search, referer: http://search.yahoo.com/search?p=id.com+inurl:catalog.&sm=Yahoo%21+Search&fr=FP-tab-web-t&toggle=1&cop=&ei=UTF-8
[Fri Feb 25 21:33:07 2011] [error] [client 89.223.24.135] script '/var/www/dorf1.php' not found or unable to stat, referer: http://speed.travian.ru/dorf1.php
[Fri Feb 25 21:33:07 2011] [error] [client 193.110.115.58] File does not exist: /var/www/inf.pl
25.2.2011 21:43 camel1cz | skóre: 25
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
Je tam hodně virtuálů? Nemůžete zkontrolovat jestli na některém není nějaká "superaplikace"?

Napadlo mě ještě SSI, ale to myslím neumí remote URL... a ty přístupy na cizí URL jsou v logu apache - tedy je odbavuje apache - zase sme u toho mod_proxy
25.2.2011 22:50 none
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
Virtualu je tam par. Zkusil jsem je povypinat a nechat jen jediny default virtual s prazdnym documentrootem - to same. 'Superaplikace' to nebude.
MMMMMMMMM avatar 25.2.2011 23:28 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
a co zkusit praktický test a do prohlížeče si zadat jako proxy IP serveru a port 80 a zkusit načíst nějakou stránku, zda to přes to projde (pak kontrolovat v logu)?
Linux Dokumentační Projekt - PDF ke stažení
25.2.2011 23:56 none
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
Panove jste dobri! Oba dva. Jak camel1cz tak MMMMMMMMM.

Problem byl v mod_proxy_http, jak hned napoprve napsal camel1cz, ale i po jeho vypnuti jsem videl spoustu spojeni v apache statusu. To proto, ze 'utocnik' nevedel, ze uz muj server neni proxy a i nadale vysilal pozadavky. To me zmatlo - nedokazal jsem odlisit uspesne a neuspesne pokusy o pouziti proxy. To az 'prakticky test' doporuceny MMMMMMMMM. Diky tomu jsem si prakticky overil ze s mod_proxy_http apache opravdu funguje jako proxy a po jeho disablovani prestane.

Takze vyreseno. Diky! Ted uz bude staci pockat az to 'utocnika' prestane bavit.
26.2.2011 00:05 camel1cz | skóre: 25
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
Cool, uff... lepší varianta! :-)

Ale ty balíčky bez md5sum fakt raději doporušuju přeinstalovat a pořádně server zkontrolovat... je mi to dost podezřelé a připomíná mi to můj problém.

Ostatně i když si tam ten mod_proxy měl, tak standardní konfigurace ten open proxy server nevytvoří... čichám něco shnilého, bacha!
Luboš Doležel (Doli) avatar 26.2.2011 00:06 Luboš Doležel (Doli) | skóre: 98 | blog: Doliho blog | Kladensko
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
To nebude "útočník". Jestli ten server fungoval jako veřejná proxy, tak se dostal do proxy listů po celém světě. Zkuste progooglit IP adresu toho serveru.
MMMMMMMMM avatar 26.2.2011 07:47 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
Tak tak. Troufám si tvrdit, že jsem tazatelův server (IP) našel na http://www.samair.ru/proxy/ :-) Ještě chvíli bude trvat, že z tama vypadne pro nefunkčnost.
Linux Dokumentační Projekt - PDF ke stažení
26.2.2011 08:03 none
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
Tak uz je to v poradku. Na serveru je klid, v netsatnu par desitek beznych spojeni, v access_logu jen par pokusu o proxy spojeni, zrejme uzivatele, co si toho jeste nevsimli a zkousi to dal. Na uvedene ULR jsem svoji IP adresu nenasel a ani na jinych proxy seznamech. Google na dostaz na moji ip adresu chrli zaznamy o tom, ze adresa byla proxy.

A jeste pro poradek musim uvest, ze moznost, ze jde o proxy zminil MMMMMMMMM, ale az camel1cz to rekl tak presvedcive, ze jsem to zacal dukladne proverovat ;). Obema a celemu foru diky!
MMMMMMMMM avatar 26.2.2011 08:14 MMMMMMMMM | skóre: 44 | blog: unstable | Valašsko :-)
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
Nebyla ta IP adresa nějak takto? 77.78.x.x? :) Ta ještě před chvílí byla na Samairu, ale už vypadla... Jinak není zač :)
Linux Dokumentační Projekt - PDF ke stažení
Tarmaq avatar 25.2.2011 17:45 Tarmaq | skóre: 39
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
Odpovědět | | Sbalit | Link | Blokovat | Admin
Návštěvnost mých stránek je mizivá.
V obou případech bez podpory PHP
V cem jsou tedy psany tvoje stranky? Mam lehke podezreni ze by tam mohla byt nejaka chyba typu include cehosi z GETu a utocnik tam podstrcil nejaky spamovy skriptik nebo tak neco..
Don't panic!
25.2.2011 18:15 none
Rozbalit Rozbalit vše Re: Apache - velké množství odchozích spojení
Stranky jsou v PHP, ale behem reseni problemu jsem vypnul podporu pomoci disablovani modulu php. Presto se nic nezmenilo. Navic jsem testoval i variantu, kdy apache/lighttpd nemel pristup k zadnym souborum. To nebude ono, dik.

Založit nové vláknoNahoru

Tiskni Sdílej: Linkuj Jaggni to Vybrali.sme.sk Google Del.icio.us Facebook

ISSN 1214-1267, (c) 1999-2007 Stickfish s.r.o.