Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-16 Пенетрантность Eugene Berdnikov 
On Thu, Nov 15, 2012 at 09:01:56PM +0200, Belskii Artem wrote:
> >netstat -pan (дубль два)
> 
> netstat -pan архивированый лог в аттаче, 8955 строк

 Странность: коннекции в ESTABLISHED (порт 9000) без процесса-владельца.

 Могу предположить, что система подверглась модификации с целью скрыть
 работающий вирус, поэтому доверять выдаче netstat'a не следует.

 1. Установите ss, если он уже есть -- принесите ss с другой машины или
переустановите пакет. Посмотрите выдачу "ss -pan dport = :9000".

 2. Проверьте систему каким-нибудь анти-rootkit'ом.
-- 
 Eugene Berdnikov


-- 
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/20121116080315.gw16...@protva.ru

Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-15 Пенетрантность Anatoly Molchanov 
На всякий случай можно ограничить число одновременных коннектов с хоста:
iptables -I INPUT 1 -p tcp -m tcp --dport 80 --tcp-flags
FIN,SYN,RST,ACK SYN -m connlimit --connlimit-above 15 --connlimit-mask
32 -j DROP

Для отброса пакетов с определенных хостов используется ipset:
ipset -N blacklist iphash
iptables -A INPUT -p tcp -m tcp --dport 80 -m set --set blacklist src -j DROP
* пополнение blacklist'а через man ipset

По стране банить можно так:
http://blogs.hub21.ru/blog/linux/173.html
* вам Германия мешает немного



16 ноября 2012 г., 2:25 пользователь Anatoly Molchanov
написал:

> http://nginx.org/ru/docs/http/ngx_http_limit_req_module.html, для особо
> наглых:
> iptables -I INPUT -m iprange --src-range 41.97.0.0-41.129.243.200 -j DROP
>
>
>
> 16 ноября 2012 г., 1:49 пользователь Anatoly Molchanov 
> написал:
>
> Судя по логу, нужно  смотреть в "tcpdump -i ВНЕШНИЙ_ИНТЕРФЕЙС 'port 80'"
>> за 5 минут. Сравнивайте с обычной статистикой посещений.
>>
>> Ваш сервер не на Hetzner'е ли?
>>
>>
>> 15 ноября 2012 г., 23:43 пользователь Belskii Artem написал:
>>
>>  А вам не кажется, что вас пытаются за ДДоСить? С 176.241.84.1,
 например, около 90 SYN_RECV.

>>>
>>> Вожможно что и так, но меня больше волнует то, что
>>> netstat -an | grep tcp | awk '{print $5}' | cut -d: -f1 | sort -n | uniq
>>> -c | more
>>>
>>> среди прочего показывает
>>>
>>>   11742 127.0.0.1
>>>
>>> при чем что там коннекты такого вида:
>>> tcp0  0 127.0.0.1:45465 127.0.0.1:9000  TIME_WAIT
>>> -
>>>
>>>
>>>
>>> С уважением,
>>> Бельский Артем.
>>>
>>>
>>> --
>>> To UNSUBSCRIBE, email to 
>>> debian-russian-REQUEST@lists.**debian.org
>>> with a subject of "unsubscribe". Trouble? Contact
>>> listmas...@lists.debian.org
>>> Archive: 
>>> http://lists.debian.org/**50a545f5.9070...@ua.fm
>>>
>>>
>>
>

Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-15 Пенетрантность Anatoly Molchanov 
http://nginx.org/ru/docs/http/ngx_http_limit_req_module.html, для особо
наглых:
iptables -I INPUT -m iprange --src-range 41.97.0.0-41.129.243.200 -j DROP



16 ноября 2012 г., 1:49 пользователь Anatoly Molchanov
написал:

> Судя по логу, нужно  смотреть в "tcpdump -i ВНЕШНИЙ_ИНТЕРФЕЙС 'port 80'"
> за 5 минут. Сравнивайте с обычной статистикой посещений.
>
> Ваш сервер не на Hetzner'е ли?
>
>
> 15 ноября 2012 г., 23:43 пользователь Belskii Artem написал:
>
>  А вам не кажется, что вас пытаются за ДДоСить? С 176.241.84.1,
>>> например, около 90 SYN_RECV.
>>>
>>
>> Вожможно что и так, но меня больше волнует то, что
>> netstat -an | grep tcp | awk '{print $5}' | cut -d: -f1 | sort -n | uniq
>> -c | more
>>
>> среди прочего показывает
>>
>>   11742 127.0.0.1
>>
>> при чем что там коннекты такого вида:
>> tcp0  0 127.0.0.1:45465 127.0.0.1:9000  TIME_WAIT   -
>>
>>
>>
>> С уважением,
>> Бельский Артем.
>>
>>
>> --
>> To UNSUBSCRIBE, email to 
>> debian-russian-REQUEST@lists.**debian.org
>> with a subject of "unsubscribe". Trouble? Contact
>> listmas...@lists.debian.org
>> Archive: 
>> http://lists.debian.org/**50a545f5.9070...@ua.fm
>>
>>
>

Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-15 Пенетрантность Anatoly Molchanov 
Судя по логу, нужно  смотреть в "tcpdump -i ВНЕШНИЙ_ИНТЕРФЕЙС 'port 80'" за
5 минут. Сравнивайте с обычной статистикой посещений.

Ваш сервер не на Hetzner'е ли?


15 ноября 2012 г., 23:43 пользователь Belskii Artem  написал:

> А вам не кажется, что вас пытаются за ДДоСить? С 176.241.84.1,
>> например, около 90 SYN_RECV.
>>
>
> Вожможно что и так, но меня больше волнует то, что
> netstat -an | grep tcp | awk '{print $5}' | cut -d: -f1 | sort -n | uniq
> -c | more
>
> среди прочего показывает
>
>   11742 127.0.0.1
>
> при чем что там коннекты такого вида:
> tcp0  0 127.0.0.1:45465 127.0.0.1:9000  TIME_WAIT   -
>
>
>
> С уважением,
> Бельский Артем.
>
>
> --
> To UNSUBSCRIBE, email to 
> debian-russian-REQUEST@lists.**debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: 
> http://lists.debian.org/**50a545f5.9070...@ua.fm
>
>

Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-15 Пенетрантность Belskii Artem 

А вам не кажется, что вас пытаются за ДДоСить? С 176.241.84.1,
например, около 90 SYN_RECV.


Вожможно что и так, но меня больше волнует то, что
netstat -an | grep tcp | awk '{print $5}' | cut -d: -f1 | sort -n | uniq 
-c | more


среди прочего показывает

  11742 127.0.0.1

при чем что там коннекты такого вида:
tcp0  0 127.0.0.1:45465 127.0.0.1:9000  TIME_WAIT   -


С уважением,
Бельский Артем.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50a545f5.9070...@ua.fm

Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-15 Пенетрантность Hleb Valoshka 
On 11/15/12, Belskii Artem  wrote:
>> netstat -pan (дубль два)
> netstat -pan архивированый лог в аттаче, 8955 строк

А вам не кажется, что вас пытаются за ДДоСить? С 176.241.84.1,
например, около 90 SYN_RECV.

Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-15 Пенетрантность Belskii Artem 

netstat -pan (дубль два)


netstat -pan архивированый лог в аттаче, 8955 строк


С уважением,
Бельский Артем.


netstat.tar.gz
Description: application/gzip

Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-15 Пенетрантность Anatoly Molchanov 
netstat -pan (дубль два)


15 ноября 2012 г., 22:37 пользователь Belskii Artem  написал:

> Вирус?
>>
> Та думаю что да, что-то вирусное, был апач на внешнем порту, долбило с
> него, сменил на 127.0.0.1, с него коннекты идут теперь...
>
>
>  С -p, чтобы процессы показало (рутом).
>>
> ну вот такую картину вижу при netstat -nlp
> tcp0  0 127.0.0.1:57728 127.0.0.1:9000 TIME_WAIT   -
>
>
> С уважением,
> Бельский Артем.
>
>
> --
> To UNSUBSCRIBE, email to 
> debian-russian-REQUEST@lists.**debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: 
> http://lists.debian.org/**50a53662.5030...@ua.fm
>
>

Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-15 Пенетрантность Belskii Artem 

Вирус?
Та думаю что да, что-то вирусное, был апач на внешнем порту, долбило с 
него, сменил на 127.0.0.1, с него коннекты идут теперь...



С -p, чтобы процессы показало (рутом).

ну вот такую картину вижу при netstat -nlp
tcp0  0 127.0.0.1:57728 127.0.0.1:9000 TIME_WAIT   -

С уважением,
Бельский Артем.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50a53662.5030...@ua.fm

Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-15 Пенетрантность Belskii Artem 

С -p, чтобы процессы показало (рутом).



Сегодня что-то у меня скромная активность, буквально часок потарабанило, 
и все, так что на 100% не скажу, но вчера пробовал -nlp так там вроде 
"-" показывало...

Я думаю стоит шелы поискать? Чем лучше, грепом, или какими-то утилитами?



С уважением,
Бельский Артем.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50a532c4.30...@ua.fm

Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-15 Пенетрантность Andrey Rahmatullin 
On Thu, Nov 15, 2012 at 07:50:33PM +0200, Belskii Artem wrote:
> >А access.log читали?
> Ну в логах что-то типа такого:
> 127.0.0.1 - - [15/Nov/2012:01:21:38 +0400] "GET / HTTP/1.0" 200
> 11219 "778z7.biz" "Mozilla/4.0 (compatible; ibisBrowser)"
> 127.0.0.1 - - [15/Nov/2012:01:21:38 +0400] "GET / HTTP/1.0" 200
> 11219 "1714vq386qzy.net" "Mozilla/4.0 (compatible; Check&Get 3.0;
> Windows NT)"
> 127.0.0.1 - - [15/Nov/2012:01:21:38 +0400] "GET / HTTP/1.0" 200
> 11219 "1ep6913hzz3lr.net" "Mozilla/5.0 (Windows; U; Win9x; en;
> Stable) Gecko/20020911 Beonex/0.8.1-stable"
Вирус?

> >Раз с этой же машины - хоть netstat.
> 
> А если не секрет, с каким ключем?)
С -p, чтобы процессы показало (рутом).

-- 
WBR, wRAR


signature.asc
Description: Digital signature

Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-15 Пенетрантность Belskii Artem 

А access.log читали?

Ну в логах что-то типа такого:
127.0.0.1 - - [15/Nov/2012:01:21:38 +0400] "GET / HTTP/1.0" 200 11219 
"778z7.biz" "Mozilla/4.0 (compatible; ibisBrowser)"
127.0.0.1 - - [15/Nov/2012:01:21:38 +0400] "GET / HTTP/1.0" 200 11219 
"1714vq386qzy.net" "Mozilla/4.0 (compatible; Check&Get 3.0; Windows NT)"
127.0.0.1 - - [15/Nov/2012:01:21:38 +0400] "GET / HTTP/1.0" 200 11219 
"1ep6913hzz3lr.net" "Mozilla/5.0 (Windows; U; Win9x; en; Stable) 
Gecko/20020911 Beonex/0.8.1-stable"
127.0.0.1 - - [15/Nov/2012:01:21:38 +0400] "GET / HTTP/1.0" 200 11219 
"t07i1wy9dc4.ru" "Mozilla/4.0 (compatible; MSIE 5.0; NetNose-Crawler 
2.0; A New Search Experience: http://www.netnose.com)"
127.0.0.1 - - [15/Nov/2012:01:21:38 +0400] "GET / HTTP/1.0" 200 11219 
"2cj1g.info" "Mozilla/5.0 (compatible; MSIE 6.0; Podtech Network; 
crawler_ad...@044aak0s12e.net)"
127.0.0.1 - - [15/Nov/2012:01:21:38 +0400] "GET / HTTP/1.0" 200 11219 
"ft166.biz" "Mozilla/5.0 (compatible; SummizeBot 
+http://www.92ehnu772reg70.com)"
127.0.0.1 - - [15/Nov/2012:01:21:38 +0400] "GET / HTTP/1.0" 200 11219 
"6s09nu8a.info" "Mozilla/3.0 (compatible; 30p55kn5e.com/2.56)"
127.0.0.1 - - [15/Nov/2012:01:21:38 +0400] "GET / HTTP/1.0" 200 11219 
"c36e9w07g93b.info" "Mozilla/4.0 (compatible; Powermarks/3.5; Windows 
95/98/2000/NT)"
127.0.0.1 - - [15/Nov/2012:01:21:38 +0400] "GET / HTTP/1.0" 200 11219 
"7j4hz.biz" "Mozilla/4.5 [en]C-CCK-MCD {RuralNet} (Win98; I)"
127.0.0.1 - - [15/Nov/2012:01:21:39 +0400] "GET / HTTP/1.0" 200 11219 
"h9116ydx.info" "Mozilla/3.0 (WorldGate Gazelle 3.5.1 build 11; 
FreeBSD2.2.8-STABLE)"
127.0.0.1 - - [15/Nov/2012:01:21:39 +0400] "GET / HTTP/1.0" 200 11219 
"hlk15x0.info" "Mozilla/4.5 [en]C-CCK-MCD {RuralNet} (Win98; I)"
127.0.0.1 - - [15/Nov/2012:01:21:41 +0400] "GET / HTTP/1.0" 200 11219 
"mzk0a8.ru" "Mozilla/4.0 compatible ZyBorg/1.0 
(wn.p147w6gdl0...@k4c2r.net; http://www.6dg1ijbk02y4.com)"
127.0.0.1 - - [15/Nov/2012:01:21:41 +0400] "GET / HTTP/1.0" 200 11219 
"f6gmem9n.net" "Mozilla/4.0 (compatible; Win32; WinHttp.WinHttpRequest.5)"
127.0.0.1 - - [15/Nov/2012:01:21:41 +0400] "GET / HTTP/1.0" 200 11219 
"p611p54gi32d46.biz" "Mozilla/4.72 [en] (BACS http://www.ba.be)"
127.0.0.1 - - [15/Nov/2012:01:21:42 +0400] "GET / HTTP/1.0" 200 11219 
"17267vehm9a4v.net" "Mozilla/4.0 (compatible; MSIE 4.01; Mac_PowerPC)"
127.0.0.1 - - [15/Nov/2012:01:21:43 +0400] "GET / HTTP/1.0" 200 11219 
"dp7627s5260p40.com" "Mozilla/3.0 (Slurp/si; sl...@inktomi.com; 
http://www.rs520o.com/slurp.html)"



Раз с этой же машины - хоть netstat.


А если не секрет, с каким ключем?)


 netstat -an | grep 127.0.0.1 | awk '{print $5}' | cut -d: -f1 | sort 
-n | uniq -c

  6 0.0.0.0
   9872 127.0.0.1

 netstat -an | grep 127.0.0.1
tcp0  0 127.0.0.1:49659 127.0.0.1:9000 TIME_WAIT   -
tcp0  0 127.0.0.1:46892 127.0.0.1:9000 TIME_WAIT   -
tcp0  0 127.0.0.1:49877 127.0.0.1:9000 TIME_WAIT   -




Порт 9000 из вне закрыт. Значит, я имею дело с какой-то зарозой, которая 
уже сидит внутри, и скорей всего от какого-то запроса активизируется, 
правильно, как думаете?

Вопрос, как эту редиску выловить?


С уважением,
Бельский Артем.


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50a52b69.7070...@ua.fm

Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-15 Пенетрантность Andrey Rahmatullin 
On Wed, Nov 14, 2012 at 09:37:34PM +0200, Belskii Artem wrote:
> Всем привет, имею веб сервер, nginx+apache под упревлением
> ispmanaer`a, все в принципе стандартно, с недавнего времени стал
> замечать резкое увеличение нагрузок, при анализе выяснилось, что
> идут множественные соединения на порт апача, до 10 тысяч, при такой
> ситуации, LA при таком количестве соединений доходило до 98.
А access.log читали?

> Ворос, как можно просмотреть, какая программа, инициализирует
> внешнее соединение?
Раз с этой же машины - хоть netstat.

-- 
WBR, wRAR


signature.asc
Description: Digital signature

Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-15 Пенетрантность Бельский Артем 

показывает ESTABLISHED и LISTEN

С уважением,
Юельский Артем.

15.11.2012 10:06, Oleg A Chernov пишет:

В сообщении от 14 ноября 2012 21:37:34 автор Belskii Artem написал:

Ворос, как можно просмотреть, какая программа, инициализирует внешнее
соединение?


lsof -i

правда я не уверен, что покажет соединения в состоянии отличном от ESTABLISHED




--

Best regards,
Belskii Artem


--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50a4ab47.4060...@ua.fm

Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-15 Пенетрантность Oleg A Chernov 
В сообщении от 14 ноября 2012 21:37:34 автор Belskii Artem написал:
> Ворос, как можно просмотреть, какая программа, инициализирует внешнее 
> соединение?
> 

lsof -i

правда я не уверен, что покажет соединения в состоянии отличном от ESTABLISHED

-- 
Best regards,
Oleg A. Chernov
OAC4-RIPE
Wildpark ISP, Nikolaev, Ukraine
+380512 709555(221)

Re: Множественные подключения с локального вненего айпи, на порт апача

2012-11-14 Пенетрантность Anatoly Molchanov 
 не nginx ли стучится? )

netstat -pan


14 ноября 2012 г., 23:37 пользователь Belskii Artem  написал:

> Всем привет, имею веб сервер, nginx+apache под упревлением ispmanaer`a,
> все в принципе стандартно, с недавнего времени стал замечать резкое
> увеличение нагрузок, при анализе выяснилось, что идут множественные
> соединения на порт апача, до 10 тысяч, при такой ситуации, LA при таком
> количестве соединений доходило до 98.
> На других серверах, с аналогичной конфигурацией, количество коннектов к
> апачу не привышает 200.
> Включал мониторинг загрузки процессора пользователями, но ответа на вопрос
> это не дало.
> Ворос, как можно просмотреть, какая программа, инициализирует внешнее
> соединение?
>
> Соединения имеют такой вид:
> tcp0  0 180.42.26.116:49947 180.42.26.116:8080   TIME_WAIT
> tcp0  0 180.42.26.116:47791 180.42.26.116:8080   TIME_WAIT
> tcp0  0 180.42.26.116:47735 180.42.26.116:8080   TIME_WAIT
> tcp0  0 180.42.26.116:50009 180.42.26.116:8080   TIME_WAIT
> tcp0  0 180.42.26.116:47402 180.42.26.116:8080   TIME_WAIT
> tcp0  0 180.42.26.116:47046 180.42.26.116:8080   TIME_WAIT
> tcp0  0 180.42.26.116:50075 180.42.26.116:8080   TIME_WAIT
>
>
> порт 8080 из вне не доступен.
>
> PS айпи заменен.
>
> Буду очень признателен за помощь!
>
> С уважением.
> Артем Бельский.
>
>
>
>
>
> --
> To UNSUBSCRIBE, email to 
> debian-russian-REQUEST@lists.**debian.org
> with a subject of "unsubscribe". Trouble? Contact
> listmas...@lists.debian.org
> Archive: 
> http://lists.debian.org/**50a3f2fe.6010...@ua.fm
>
>

Множественные подключения с локального вненего айпи, на порт апача

2012-11-14 Пенетрантность Belskii Artem 
Всем привет, имею веб сервер, nginx+apache под упревлением ispmanaer`a, 
все в принципе стандартно, с недавнего времени стал замечать резкое 
увеличение нагрузок, при анализе выяснилось, что идут множественные 
соединения на порт апача, до 10 тысяч, при такой ситуации, LA при таком 
количестве соединений доходило до 98.
На других серверах, с аналогичной конфигурацией, количество коннектов к 
апачу не привышает 200.
Включал мониторинг загрузки процессора пользователями, но ответа на 
вопрос это не дало.
Ворос, как можно просмотреть, какая программа, инициализирует внешнее 
соединение?


Соединения имеют такой вид:
tcp0  0 180.42.26.116:49947 180.42.26.116:8080   TIME_WAIT
tcp0  0 180.42.26.116:47791 180.42.26.116:8080   TIME_WAIT
tcp0  0 180.42.26.116:47735 180.42.26.116:8080   TIME_WAIT
tcp0  0 180.42.26.116:50009 180.42.26.116:8080   TIME_WAIT
tcp0  0 180.42.26.116:47402 180.42.26.116:8080   TIME_WAIT
tcp0  0 180.42.26.116:47046 180.42.26.116:8080   TIME_WAIT
tcp0  0 180.42.26.116:50075 180.42.26.116:8080   TIME_WAIT


порт 8080 из вне не доступен.

PS айпи заменен.

Буду очень признателен за помощь!

С уважением.
Артем Бельский.





--
To UNSUBSCRIBE, email to debian-russian-requ...@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/50a3f2fe.6010...@ua.fm