Freesco, NND, CDN, EOS

http://www.freesco.pl
Dzisiaj jest czwartek, 28 marca 2024, 20:36

Strefa czasowa UTC+2godz.




Nowy temat Odpowiedz w temacie  [ Posty: 10 ] 
Autor Wiadomość
Post: piątek, 26 sierpnia 2011, 08:01 
Offline
Użytkownik

Rejestracja: poniedziałek, 4 lipca 2005, 11:37
Posty: 118
Lokalizacja: Gdynia
Witajcie, mam mały problem i nie mogę dojść do przyczyny.
Moje serwo (NND 0,24) od tego tygodnia zatrzymuje demon http. Nawet nie jestem dokładnie określić godziny o której się to dzieje, ale na pewno dzieje się to wieczorem lub w nocy. (prawdopodobnie po przemieleniu logów).
Czy ktoś może coś podpowiedzieć?
Mogę wrzucić logi, ale nie ma w nich nic nadzwyczajnego...

Serwer obsługuje kilka domen i w żadnym z logów nie dzieje się nic niepokojącego, a jednak rano jak sprawdzam, to www stoi :( , więc restart i działa dalej.
Co to może być?

_________________
1.) NND 0.2.4 -> PC PIII 800 MHz, 512 MB RAM, 120 GB IDE UDMA 4 [Jest awaryjnie]
2.) Ubuntu 14... -> HP Proliant ML350 G3, Pentium D 3.2 GHz, 4GB RAM, 500GB + 2x500GB@HW Raid I [żarł za dużo prądu]
3.) Debian 8... -> w obudowie po HP NetServer E800, i5-2500K, 16GB RAM, 1+1TB soft RAID1 + 3+3TB soft RAID1


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 sierpnia 2011, 09:19 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Musi coś być w /var/log/httpd/error_log albo w logu systemowym jeśli coś się dzieje w systemie. Jednak poszukaj.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 sierpnia 2011, 10:05 
Offline
MODERATOR

Rejestracja: środa, 24 października 2007, 15:30
Posty: 329
Lokalizacja: Sadowne
IMHO to może być wina dziury w apachu 1.3 i 2.

"Błąd w przetwarzaniu nagłówka Range obecny w serwerach Apache 2.2.* pozwala na zdalne unieruchomienie pracy webserwera (atak DoS). Atakujący nie musi posiadać wielkiego botnetu, wystarczy jeden komputer i poniższy skrypt." ~niebezpiecznik.pl

Sprawdzałem tego exploita na swoim serwerku - działa, ubity apache.

Link do źródła: http://niebezpiecznik.pl/post/apache-killer-czyli-exploit-na-apache-2-2/

_________________
Polska Grupa Freesco
medhost - Kompleksowe rozwiązania informatyczne
Przychodnia Optima Koszarska Rudnicka


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 sierpnia 2011, 11:43 
Offline
Użytkownik

Rejestracja: poniedziałek, 4 lipca 2005, 11:37
Posty: 118
Lokalizacja: Gdynia
Dzięki za szybką odpowiedź :)
Po południu wrzucę logi, żebyście mogli też na to spojrzeć...

Odnośnie exploita, to by znaczyło, że codziennie ktoś go uruchamia?
Ale mam apacha 2.2.4-7nnd, php4, php5,

_________________
1.) NND 0.2.4 -> PC PIII 800 MHz, 512 MB RAM, 120 GB IDE UDMA 4 [Jest awaryjnie]
2.) Ubuntu 14... -> HP Proliant ML350 G3, Pentium D 3.2 GHz, 4GB RAM, 500GB + 2x500GB@HW Raid I [żarł za dużo prądu]
3.) Debian 8... -> w obudowie po HP NetServer E800, i5-2500K, 16GB RAM, 1+1TB soft RAID1 + 3+3TB soft RAID1


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 sierpnia 2011, 12:44 
Offline
Użytkownik

Rejestracja: wtorek, 24 lutego 2004, 02:20
Posty: 153
Lokalizacja: Katowice
czasem wystarczylo przesunac do tylu czas i sie sypalo. synchronizacja czasu jak czesto sie robi i zobacz czy ma zwiazek.


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 sierpnia 2011, 15:18 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Exploit jest raczej mało prawdopodobny, bo serwer byłby atakowany zdalnie z zadziwiającą regularnością. Zresztą Saturas sprawdzał i apache w NND oraz EOSie jest niewrażliwy na ten exploit, zaś CDN jest jeszcze sprawdzane, bo wyniki są ambiwalentne.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: piątek, 26 sierpnia 2011, 21:02 
Offline
PGF

Rejestracja: sobota, 15 marca 2003, 13:54
Posty: 2780
Najprawdopodobniej podczas zapisu logów serwer jest przeciążony i ubija procesy. Jak to śpiewali Czrno-Czarni : "chcę oglądac Twoje logi...logi, logi, logi"

_________________
Internet TV telefon - Nakło nad Notecią
NoNieno.pl - urywa gacie :)
Szybkie kobiety i piękne samochody


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 1 września 2011, 08:03 
Offline
Użytkownik

Rejestracja: poniedziałek, 4 lipca 2005, 11:37
Posty: 118
Lokalizacja: Gdynia
Witam,
na wstępie przepraszam, że tyle czasu nic nie dopisałem, ale wyjazdy nieco pokrzyżowały mi plany...

Apropo logów, przyglądałem się niemalże z lupą, ale jedyne co dziwne to takie wpisy:

    [Sat Aug 27 00:17:59 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 00:18:01 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 00:18:01 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 00:38:14 2011] [info] [client 93.175.80.169] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 06:11:11 2011] [info] [client 95.124.33.252] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 07:35:46 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 10:11:39 2011] [info] [client 178.36.111.155] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 10:39:51 2011] [info] [client 79.185.179.31] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:15:36 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:15:38 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:15:38 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:16:34 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:16:35 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:16:38 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:19:13 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:19:15 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:19:16 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 12:57:37 2011] [error] [client 211.39.132.43] File does not exist: /home/httpd/html/w00tw00t.at.blackhats.romanian.anti-sec

Jeszcze w głównym error.logu:

    [Thu Sep 01 00:02:02 2011] [notice] Digest: generating secret for digest authentication ...
    [Thu Sep 01 00:02:02 2011] [notice] Digest: done PHP Warning: Unknown(): Unable to load dynamic library '/usr/lib/php/php_mcrypt.dll' - /usr/lib/php/php_mcrypt.dll: cannot open shared object file: No such file or directory in Unknown on line 0
    [Thu Sep 01 00:02:03 2011] [notice] Apache/2.2.4 (Unix) DAV/2 PHP/4.4.6 configured -- resuming normal operations
    [Thu Sep 01 00:02:03 2011] [info] Server built: Mar 15 2008 12:02:18
    [Thu Sep 01 00:02:03 2011] [debug] prefork.c(991): AcceptMutex: sysvsem (default: sysvsem)

oraz z wcześniejszego:
    [Thu Aug 25 22:24:24 2011] [notice] Apache/2.2.4 (Unix) DAV/2 PHP/4.4.6 configured -- resuming normal operations
    [Thu Aug 25 22:24:24 2011] [info] Server built: Mar 15 2008 12:02:18
    [Thu Aug 25 22:24:24 2011] [debug] prefork.c(991): AcceptMutex: sysvsem (default: sysvsem)
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    [Fri Aug 26 00:02:02 2011] [notice] SIGHUP received. Attempting to restart
    [Fri Aug 26 00:02:02 2011] [notice] Digest: generating secret for digest authentication ...
    [Fri Aug 26 00:02:02 2011] [notice] Digest: done
    [Fri Aug 26 00:02:02 2011] [notice] seg fault or similar nasty error detected in the parent process


W zasadzie nic więcej.
Nie wklejam więcej, bo nie ma sensu, chyba że ważne jest że jakiś IP próbował robić włam na stronę, albo do ftp'a lub do poczty... albo że brakuje favicon.ico

Co ciekawe, demon http przestał się zawieszać i to już następnego dnia po usunięciu (27.08 - sobota) wszystkich "skrawków" lms'a łącznie z bazą danych w sql'u...
Kiedyś chciałem założyć sobie lmsa, ale w końcu odpuściłem, bo czasu zbrakło...

Teraz bynajmniej nie ma powodu do krzyku, bo całe serwo ma się dobrze, dzielnie znosi różne ataki i próby włamu na witryny 8) błędów odnośnie lms nie wyrzuca, jedynie php_mcrypt.dll (windows???) chyba nigdy nie doczytałem gdzie to wyłączyć...

_________________
1.) NND 0.2.4 -> PC PIII 800 MHz, 512 MB RAM, 120 GB IDE UDMA 4 [Jest awaryjnie]
2.) Ubuntu 14... -> HP Proliant ML350 G3, Pentium D 3.2 GHz, 4GB RAM, 500GB + 2x500GB@HW Raid I [żarł za dużo prądu]
3.) Debian 8... -> w obudowie po HP NetServer E800, i5-2500K, 16GB RAM, 1+1TB soft RAID1 + 3+3TB soft RAID1


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: czwartek, 1 września 2011, 11:23 
Offline
Honorowy Admin

Rejestracja: piątek, 5 lipca 2002, 17:30
Posty: 7800
Lokalizacja: Słupsk
Wszystko wskazuje na jakieś błędy w konfiguracji php (php.ini) i chyba faktycznie coś nie tak miałeś w LMS, te odwołania z 127.0.0.1 wskazują na to, że coś tam wewnętrznie się wykonywało lub chciało wykonywać.

_________________
Obrazek Belfer.one.PL
Obrazek Audio Cafe


Na górę
 Wyświetl profil  
 
 Tytuł:
Post: sobota, 3 września 2011, 07:35 
Offline
Użytkownik

Rejestracja: poniedziałek, 4 lipca 2005, 11:37
Posty: 118
Lokalizacja: Gdynia
Maćku dzięki za podpowiedź. Czystki zrobiłem, chociaż php.ini zasadniczo puste (mam na myśli LMS).

Dzięki za zainteresowanie.

_________________
1.) NND 0.2.4 -> PC PIII 800 MHz, 512 MB RAM, 120 GB IDE UDMA 4 [Jest awaryjnie]
2.) Ubuntu 14... -> HP Proliant ML350 G3, Pentium D 3.2 GHz, 4GB RAM, 500GB + 2x500GB@HW Raid I [żarł za dużo prądu]
3.) Debian 8... -> w obudowie po HP NetServer E800, i5-2500K, 16GB RAM, 1+1TB soft RAID1 + 3+3TB soft RAID1


Na górę
 Wyświetl profil  
 
Wyświetl posty nie starsze niż:  Sortuj wg  
Nowy temat Odpowiedz w temacie  [ Posty: 10 ] 

Strefa czasowa UTC+2godz.


Kto jest online

Użytkownicy przeglądający to forum: Bing [Bot] i 15 gości


Nie możesz tworzyć nowych tematów
Nie możesz odpowiadać w tematach
Nie możesz zmieniać swoich postów
Nie możesz usuwać swoich postów
Nie możesz dodawać załączników

Szukaj:
Przejdź do:  
cron
Technologię dostarcza phpBB® Forum Software © phpBB Group
Hosting: Compus-Net
RobertKonik.pl