Freesco, NND, CDN, EOS
http://forum.freesco.pl/

Httpd przestaje działać
http://forum.freesco.pl/viewtopic.php?f=22&t=18588		 Strona 1 z 1
Autor:  4Tech [ piątek, 26 sierpnia 2011, 08:01 ]
Tytuł:  Httpd przestaje działać
Witajcie, mam mały problem i nie mogę dojść do przyczyny.
Moje serwo (NND 0,24) od tego tygodnia zatrzymuje demon http. Nawet nie jestem dokładnie określić godziny o której się to dzieje, ale na pewno dzieje się to wieczorem lub w nocy. (prawdopodobnie po przemieleniu logów).
Czy ktoś może coś podpowiedzieć?
Mogę wrzucić logi, ale nie ma w nich nic nadzwyczajnego...

Serwer obsługuje kilka domen i w żadnym z logów nie dzieje się nic niepokojącego, a jednak rano jak sprawdzam, to www stoi :( , więc restart i działa dalej.
Co to może być?
Autor:  Maciek [ piątek, 26 sierpnia 2011, 09:19 ]
Tytuł: 
Musi coś być w /var/log/httpd/error_log albo w logu systemowym jeśli coś się dzieje w systemie. Jednak poszukaj.
Autor:  Saturas [ piątek, 26 sierpnia 2011, 10:05 ]
Tytuł: 
IMHO to może być wina dziury w apachu 1.3 i 2.

"Błąd w przetwarzaniu nagłówka Range obecny w serwerach Apache 2.2.* pozwala na zdalne unieruchomienie pracy webserwera (atak DoS). Atakujący nie musi posiadać wielkiego botnetu, wystarczy jeden komputer i poniższy skrypt." ~niebezpiecznik.pl

Sprawdzałem tego exploita na swoim serwerku - działa, ubity apache.

Link do źródła: http://niebezpiecznik.pl/post/apache-killer-czyli-exploit-na-apache-2-2/
Autor:  4Tech [ piątek, 26 sierpnia 2011, 11:43 ]
Tytuł: 
Dzięki za szybką odpowiedź :)
Po południu wrzucę logi, żebyście mogli też na to spojrzeć...

Odnośnie exploita, to by znaczyło, że codziennie ktoś go uruchamia?
Ale mam apacha 2.2.4-7nnd, php4, php5,
Autor:  Raflik [ piątek, 26 sierpnia 2011, 12:44 ]
Tytuł: 
czasem wystarczylo przesunac do tylu czas i sie sypalo. synchronizacja czasu jak czesto sie robi i zobacz czy ma zwiazek.
Autor:  Maciek [ piątek, 26 sierpnia 2011, 15:18 ]
Tytuł: 
Exploit jest raczej mało prawdopodobny, bo serwer byłby atakowany zdalnie z zadziwiającą regularnością. Zresztą Saturas sprawdzał i apache w NND oraz EOSie jest niewrażliwy na ten exploit, zaś CDN jest jeszcze sprawdzane, bo wyniki są ambiwalentne.
Autor:  Albercik [ piątek, 26 sierpnia 2011, 21:02 ]
Tytuł: 
Najprawdopodobniej podczas zapisu logów serwer jest przeciążony i ubija procesy. Jak to śpiewali Czrno-Czarni : "chcę oglądac Twoje logi...logi, logi, logi"
Autor:  4Tech [ czwartek, 1 września 2011, 08:03 ]
Tytuł: 
Witam,
na wstępie przepraszam, że tyle czasu nic nie dopisałem, ale wyjazdy nieco pokrzyżowały mi plany...

Apropo logów, przyglądałem się niemalże z lupą, ale jedyne co dziwne to takie wpisy:

    [Sat Aug 27 00:17:59 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 00:18:01 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 00:18:01 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 00:38:14 2011] [info] [client 93.175.80.169] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 06:11:11 2011] [info] [client 95.124.33.252] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 07:35:46 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 10:11:39 2011] [info] [client 178.36.111.155] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 10:39:51 2011] [info] [client 79.185.179.31] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:15:36 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:15:38 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:15:38 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:16:34 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:16:35 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:16:38 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:19:13 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:19:15 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 11:19:16 2011] [info] [client 127.0.0.1] (32)Broken pipe: core_output_filter: writing data to the network
    [Sat Aug 27 12:57:37 2011] [error] [client 211.39.132.43] File does not exist: /home/httpd/html/w00tw00t.at.blackhats.romanian.anti-sec

Jeszcze w głównym error.logu:

    [Thu Sep 01 00:02:02 2011] [notice] Digest: generating secret for digest authentication ...
    [Thu Sep 01 00:02:02 2011] [notice] Digest: done PHP Warning: Unknown(): Unable to load dynamic library '/usr/lib/php/php_mcrypt.dll' - /usr/lib/php/php_mcrypt.dll: cannot open shared object file: No such file or directory in Unknown on line 0
    [Thu Sep 01 00:02:03 2011] [notice] Apache/2.2.4 (Unix) DAV/2 PHP/4.4.6 configured -- resuming normal operations
    [Thu Sep 01 00:02:03 2011] [info] Server built: Mar 15 2008 12:02:18
    [Thu Sep 01 00:02:03 2011] [debug] prefork.c(991): AcceptMutex: sysvsem (default: sysvsem)

oraz z wcześniejszego:
    [Thu Aug 25 22:24:24 2011] [notice] Apache/2.2.4 (Unix) DAV/2 PHP/4.4.6 configured -- resuming normal operations
    [Thu Aug 25 22:24:24 2011] [info] Server built: Mar 15 2008 12:02:18
    [Thu Aug 25 22:24:24 2011] [debug] prefork.c(991): AcceptMutex: sysvsem (default: sysvsem)
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    PHP: Error parsing /etc/lms.ini on line 257
    [Fri Aug 26 00:02:02 2011] [notice] SIGHUP received. Attempting to restart
    [Fri Aug 26 00:02:02 2011] [notice] Digest: generating secret for digest authentication ...
    [Fri Aug 26 00:02:02 2011] [notice] Digest: done
    [Fri Aug 26 00:02:02 2011] [notice] seg fault or similar nasty error detected in the parent process


W zasadzie nic więcej.
Nie wklejam więcej, bo nie ma sensu, chyba że ważne jest że jakiś IP próbował robić włam na stronę, albo do ftp'a lub do poczty... albo że brakuje favicon.ico

Co ciekawe, demon http przestał się zawieszać i to już następnego dnia po usunięciu (27.08 - sobota) wszystkich "skrawków" lms'a łącznie z bazą danych w sql'u...
Kiedyś chciałem założyć sobie lmsa, ale w końcu odpuściłem, bo czasu zbrakło...

Teraz bynajmniej nie ma powodu do krzyku, bo całe serwo ma się dobrze, dzielnie znosi różne ataki i próby włamu na witryny 8) błędów odnośnie lms nie wyrzuca, jedynie php_mcrypt.dll (windows???) chyba nigdy nie doczytałem gdzie to wyłączyć...
Autor:  Maciek [ czwartek, 1 września 2011, 11:23 ]
Tytuł: 
Wszystko wskazuje na jakieś błędy w konfiguracji php (php.ini) i chyba faktycznie coś nie tak miałeś w LMS, te odwołania z 127.0.0.1 wskazują na to, że coś tam wewnętrznie się wykonywało lub chciało wykonywać.
Autor:  4Tech [ sobota, 3 września 2011, 07:35 ]
Tytuł: 
Maćku dzięki za podpowiedź. Czystki zrobiłem, chociaż php.ini zasadniczo puste (mam na myśli LMS).

Dzięki za zainteresowanie.
Strona 1 z 1 Strefa czasowa UTC+2godz.
Powered by phpBB® Forum Software © phpBB Group
https://www.phpbb.com/