Apache2 начал делать массовые запросы :: В помощь системному администратору :: Компьютерный форум Ru.Board

Перейти из форума на сайт.

Новости • Файловые архивы
Поиск • Активные темы • Топ лист
Правила • Кто в on-line?

Вход • Забыли пароль? • Первый раз на этом сайте? • Регистрация

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Apache2 начал делать массовые запросы

Модерирует : lynx, Crash_Master, dg, emx, ShriEkeR
Версия для печати • Подписаться • Добавить в закладки

Открыть новую тему

Написать ответ в эту тему

Yura12

Member

Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Подскажите, пожалуйста, где искать причину. У нас старый сервер на Ubuntu 12
И вдруг неделю назад Apache2 исправно работавший на сервере почти 5 лет начал с 80 порта делать массово запросы в сеть на адреса диапазонов
194.29.208...-215...
217.68.209...-223...
91.188.192...-195...

Сначала обнаружил это программой ipaudit работающей в нашей сети,
а потом увидел командой
netstat -N | grep http

В лог файлах Apache2 - ничего подозрительного нет.

Сами файлы сервера в каталогах /etc/apache2 /usr/lib/apache2 с 2016 года не менялись.

Сам сайт - представляет собой самый простой из нескольких html страниц, даже php не использует, - там тоже ничего подозрительного на действие трояна нет, файлы не менялись.

В чём может быть причина? Где искать?

Всего записей: 253 | Зарегистр. 06-01-2010 | Отправлено: 13:45 28-10-2019

Mavrikii

Platinum Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Yura12
почему решили, что запросы отправляет апач?
то, что идет с 80 порта, еще не означает, что их отправляет Апач (ибо он слушает 80, а не наоборот).

содержимое пакетов смотрели? ну и с какими они флагами?

Всего записей: 15128 | Зарегистр. 20-09-2014 | Отправлено: 21:12 28-10-2019 | Исправлено: Mavrikii, 21:29 28-10-2019

Yura12

Member

Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Ну так решил, потому что после команды sudo apache2ctl -k stop всё сразу затихает.

А сразу после sudo apache2ctl -k start начинается снова.

Сегодня утром правда - всё затихло и при включенном apache2 . Загадка.

А содержимое каких пакетов нужно посмотреть?

Всего записей: 253 | Зарегистр. 06-01-2010 | Отправлено: 13:22 29-10-2019

igor me v2 BANNED	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору Тех, что идут с 80 порта, видимо :-\
	Всего записей: 7213 \| Зарегистр. 27-03-2016 \| Отправлено: 14:21 29-10-2019 \| Исправлено: igor me v2, 14:21 29-10-2019

Yura12 Member	Редактировать \| Профиль \| Сообщение \| ICQ \| Цитировать \| Сообщить модератору А как их посмотреть? sudo lsof -i ничего подозрительного не показывает. Никакой новый процесс не появился.
	Всего записей: 253 \| Зарегистр. 06-01-2010 \| Отправлено: 15:46 29-10-2019

yuris Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору lsof -i покажет только процессы слушающие на порту. trafshow или tcpdump или что-то подобное поможет.
	Всего записей: 383 \| Зарегистр. 19-11-2001 \| Отправлено: 16:02 29-10-2019

Yura12 Member	Редактировать \| Профиль \| Сообщение \| ICQ \| Цитировать \| Сообщить модератору Прочитал документация к обоим trafshow и tcpdump - но ни одна не имеет возможности показать именно какая программа создаёт соединение.
	Всего записей: 253 \| Зарегистр. 06-01-2010 \| Отправлено: 18:12 29-10-2019

Mavrikii

Platinum Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Yura12

Цитата:

но ни одна не имеет возможности показать именно какая программа создаёт соединение.

потому что это не их задача. давайте сначала определимся с типом пакетов и содержимым.

Всего записей: 15128 | Зарегистр. 20-09-2014 | Отправлено: 19:40 29-10-2019

Yura12 Member	Редактировать \| Профиль \| Сообщение \| ICQ \| Цитировать \| Сообщить модератору Тип этих пакетов - tcp А содержимого у них нет. Они все нулевой длины. Программа netstat выдаёт состояние этих соединений SYN_RECV
	Всего записей: 253 \| Зарегистр. 06-01-2010 \| Отправлено: 19:45 29-10-2019

Mavrikii

Platinum Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Yura12

Цитата:

В лог файлах Apache2 - ничего подозрительного нет

в error_log тоже?
возможно https://ru.wikipedia.org/wiki/SYN-флуд

Цитата:

При этом он игнорирует SYN+ACK пакеты цели, не высылая ответные пакеты, либо подделывает заголовок пакета таким образом, что ответный SYN+ACK отправляется на несуществующий адрес

Всего записей: 15128 | Зарегистр. 20-09-2014 | Отправлено: 19:58 29-10-2019 | Исправлено: Mavrikii, 19:59 29-10-2019

Yura12 Member	Редактировать \| Профиль \| Сообщение \| ICQ \| Цитировать \| Сообщить модератору И в error_log тоже никаких записей нет с этих адресов. Там тоже всё нормально.
	Всего записей: 253 \| Зарегистр. 06-01-2010 \| Отправлено: 21:32 29-10-2019

ceknfyif Newbie	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору переустанови Апач, это дело 10 минут, а решает много проблем
	Всего записей: 5 \| Зарегистр. 06-09-2016 \| Отправлено: 22:32 29-10-2019

Mavrikii

Platinum Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Yura12
тогда в случае повторения ставьте сниффер пакетов и смотрите что происходит.
в частности что прилетает на 80 порт и является ли полной цепочкой или же просто спуффинг IP адреса

Всего записей: 15128 | Зарегистр. 20-09-2014 | Отправлено: 23:04 29-10-2019

yuris

Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

Цитата:

netstat выдаёт состояние этих соединений SYN_RECV

ss -4antp state syn-recv можно узнать pid процесса и от какого user`а процесс

Всего записей: 383 | Зарегистр. 19-11-2001 | Отправлено: 11:38 30-10-2019

Yura12

Member

Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

К сожалению, не получается, вот вывод команды ss -4antp state syn-recv

Recv-Q Send-Q Local Address:Port Peer Address:Port
0 0 194.85.173.173:80 212.32.233.178:34343
0 0 194.85.173.173:80 212.32.233.178:53405
0 0 194.85.173.173:80 212.32.233.178:48405

Всего записей: 253 | Зарегистр. 06-01-2010 | Отправлено: 11:51 30-10-2019

yuris Member	Редактировать \| Профиль \| Сообщение \| Цитировать \| Сообщить модератору Yura12 Погуглил, время жизни этих соединений очень короткое. Рекомендуют ловить через watch -n 1 "ss -t4 state syn-sent"
	Всего записей: 383 \| Зарегистр. 19-11-2001 \| Отправлено: 17:22 30-10-2019

Yura12

Member

Редактировать | Профиль | Сообщение | ICQ | Цитировать | Сообщить модератору

Спасибо за помощь!

Завтра днём попробую половить этой командой.

Просто прямо сейчас эта активность затихла (я заметил в последние дни - по вечерам эта активность обычно затихает).

Всего записей: 253 | Зарегистр. 06-01-2010 | Отправлено: 19:22 30-10-2019

Silver Member

Редактировать | Профиль | Сообщение | Цитировать | Сообщить модератору

rootkit - изначально unix-trouble. Можно подумать, с убунты никто крома индейца не может слать. Задача индейца слушать. А то, что рассылка как-то завязана, так это ерунда. Заюзан движок каким-то образом.
Руткит не лечится, бай дизайн. Формат Цэ

Добавлено:
Что-то мне подсказывает, что есть некий iptables. Может таки запретить исходящие на и с 80
?

----------
Скучно

Всего записей: 3019 | Зарегистр. 12-04-2013 | Отправлено: 22:52 30-10-2019 | Исправлено: Paromshick, 22:53 30-10-2019

Открыть новую тему

Написать ответ в эту тему

Компьютерный форум Ru.Board » Компьютеры » В помощь системному администратору » Apache2 начал делать массовые запросы

Реклама на форуме Ru.Board.

Powered by Ikonboard "v2.1.7b" © 2000 Ikonboard.com
Modified by Ru.B0ard
© Ru.B0ard 2000-2024

BitCoin: 1NGG1chHtUvrtEqjeerQCKDMUi6S6CG4iC