Sziasztok,
Freebsd 7.2-n (i386) JAIL-ben használok Apache 2.2.11-et, korulbelul 30 VirtualHost-al. A probléma az hogy kb 2 naponta egyszer csak gondol egyet az apache, és minden weblap helyett csak egy hófehér képernyőt ad minden weblap weblapra (ami kb 1 másodperc alatt betöltődik). 10-15 böngésző refresh után néha bejön a weblap. Biztos megoldást az apache újraindítása jelenti.
Találkoztatok már ilyennel? Mit javasoltok megoldásnak?
A másik problémám, hogy ugyanezen a szerveren néha azt a jelenséget tapasztalom, hogy beírom a weblap címét böngészőben (akármelyiket, amit nyilván ezen a szerveren hosztolok), és elvisz az egész egy idegen oldalra. Aztán letöltöm az oldalt mégegyszer és akkor meg tökéletesen lejön a weblap (már több weblapnál is észrevettem, és a weblapoknak közel sem azonos a forráskódjuk, van amelyik pl előre megírt weblap, pl: roundcube). A hiba tök kiszámíthatatlan, van hogy napokig nem is tudom rekonstruálni.
Megnéztem a forráskódokat, de hónapokkal, sőt több mint 1 évvel ezelőtt lettek módosítva.
Az egész elég paranormális, logokban pedig semmit sem találtam.
A konfig egyébként a teljesen default, csupán ennyit biggyesztettem a végére:
ServerTokens Minor
ServerSignature Off
ExtendedStatus On
HostnameLookups Off
keepalive off
MPM nincs.
Várom a javaslatokat!
- 1700 megtekintés
Hozzászólások
MPM biztos van, meghozzá prefork, mert asszem még 2.2+php-val is ez a default.
A helyzet az, hogy teljesen hasonlót én is tapasztaltam egy gépen, de ott 2.0.63-as apache és 6.4-es FreeBSD van (speciel nincs jailben). Itt a legparanormálisabb az volt, hogy úgy konkrétan SEHOL (ktrace included) nem láttam nyomát, amikor hibás válasz jött egy lekérésre.
Ha a "fehér" oldal forrását megnézed az tényleg fehér? A default vhost nincs a gépen "feldobva" valamilyen fasza XSS-es index.html-es vagy index.php-vel? Itten előfordult hogy valami malware ellenőrző JS-t adott ki magából 247 bájt hosszan.
Ha van muninod akkor a failed netkapcsolatokat nézd meg, hogy ebben az időben voltak-e. Ha nincs munin feltéve, akkor pedig villámgyors pakolj fel egyet. :)
MIELŐTT a következőket megléped, a failed connectionst mindenképp ellenőrizd, hogy képben legyünk!
1) Az apache maxrequestperchild-ot 10000 -re teszed
2) Minden 80-ason kivüli TCP portot lezársz (de persze az ssh-t, meg más live service-ed portját nem)
- A hozzászóláshoz be kell jelentkezni
Én sem látom sehol a nyomot, legalábbis a logokban nem.
A fehér oldal forrását nem néztem :( Ez valóban hiba részemről :(
A default virtualhost nem fertőzött, sőt az egy sima html.
Muninom van, a netkapcsolatban nincs semmi hiba. Meg a gépen van több JAIL is, és csak ennél van bibi.
Közben jött a Google-től egy barack, hogy a www.WEBOLDAL.hu bejelentett támadó webhely. Érdekes hogy www. nélkül minden gond és figyelmeztetés nélkül megy a lap.
Kérdés: "1) Az apache maxrequestperchild-ot 10000 -re teszed" pontosan mit eredményez?
2.) A 80-as porton kívűl szinten minden tiltva van befelé, kivéve a: 21,22,25,443,110,143.
- A hozzászóláshoz be kell jelentkezni
A maxrequestperchild az, hogy adott processt kilövi 10k request után. Ha esetleg olyan memleaket kihasználó témával próbálkoznak, ami adott számú request után jön elő, akkor valamennyire segíthet.
Az 1-es és 2-es pontban írtak bevezetése után nagyjából 0-ra csökkent a jelenség. Ha tudod, akkor nézd meg az FTP logot, hogy nem volt-e gyanus index.html és index.php file feltöltés. Mert imho továbbléptek a sima index.html fertőzős arcok. Könnyen lehet, hogy nem a default vhostot nyomták fel így hanem mást.
Ja és a harmadik pont, hogy minden relatív fölösleges apache modult offolj ha teheted, pl. mod_proxy és mod_alias.
Üdv,
András
- A hozzászóláshoz be kell jelentkezni
A tamado webhely problemara azt tudom javasolni, hogy fajlszinten csinalj md5 hash-t a jelenlegi site-rol, es backupbol allitsd vissza a hibajelenseg elotti allapotot valahova, es ellenorizd a hash-eket. Ha barmi valtozott, akkor azonnal visszaalni a regebbi verziora, mert a site fertozott.
xferlogokra en csinalnek valami logwatcher scriptet, ami monitorozza a index.(html|php|shtml|phtml|pl|py) es a *.cgi fajlok feltolteset.
--
()=() Ki oda vagyik,
('Y') hol szall a galamb
C . C elszalasztja a
()_() kincset itt alant.
- A hozzászóláshoz be kell jelentkezni
Újból előjött a fehér lapos probléma. A forrás is tök üres.
- A hozzászóláshoz be kell jelentkezni
ilyen problémába mi is belefutottunk régeben (mármint a fehér képernyő a webhelyen). nálunk a megoldást a php.ini-ben a memory_limit emelése jelentette. (több drupal is elkezdett üzemelni egymás után, ekkor lett kevés a memória a php-nak. azóta jó.)
::sumo.conf::
- A hozzászóláshoz be kell jelentkezni
Eddig oké, de ennek van nyoma a php logokban mondjuk. A másik roppant izgalmas, hogy most perpill egy gépen a default vhost telt meg 404 errorokkal, mintha oda terelődnének a lekérések.
- A hozzászóláshoz be kell jelentkezni
Házunk táján a PHP 5.3.0-ban lévő Suhosin-bugra bukkantunk rá (BSD-rendszerek érintettek): a session-kezelést elcseszték. Kérdés, Nálad van-e PHP, és ha igen, milyen verzió. Az 5.2.9 nem érintett. De nem állítom 100%-osan, hogy ez a hiba...
- A hozzászóláshoz be kell jelentkezni
Nálunk 5.2.10-es PHP van, bár az 5.2.4 is csinálta. Ezek szerint jó esély van hogy a Suhosin patch a ludas?
- A hozzászóláshoz be kell jelentkezni
Nekem az alábbi van: php5-5.2.8, es így fordítottam: WITH_SUHOSIN=true
Tehát van suhosin is.
- A hozzászóláshoz be kell jelentkezni
Van már Apache 2.2.12:
http://www.apache.org/dist/httpd/CHANGES_2.2.12
- A hozzászóláshoz be kell jelentkezni
Mintha suhosin jail-ben nem lenne ajánlott.
- A hozzászóláshoz be kell jelentkezni
Igen, és észlelték az OpenBSD-sek is. Állítólag a Suhosinosok javítják a bugot - addig meg session-kezelés kikapcs. Bővebb infó Thuglife-nál...
- A hozzászóláshoz be kell jelentkezni