LINUX.ORG.RU
ФорумAdmin

Apache генерирует паразитный исходящий трафик

 


0

1

Люди, помогите разобраться со следующей проблемой. У меня чистая инсталляция kubuntu 13.04. Есть собсвенный выделенный ip. Как только поднимаю apache из репозитория, так сразу трафик становится около 3 Мб/с. Запросы идут на какие-то странные сервисы, на гугл, яндекс, яху, байду ком, какие-то рекламные сервисы и пр. Уже забанили по айпи на авито. Сейчас у апача чистая, девственная конфинурация. Как можно вычислить что происходит? В администрировании и сетях не разбираюсь, не было повода углубится. Спасибо.



Последнее исправление: Inpu (всего исправлений: 1)

Ответ на: комментарий от strangeman

Либо убунта палёная с мылру, либо ОП врёт насчёт чистоты настроек

anonymous
()

Что-то сомнения возникают что это апач виноват. iptraf, netstat в помощь.

dmiceman ★★★★★
()
Ответ на: комментарий от anonymous

mod_proxy у тебя активирован небось.

Я так понимаю директория mods-enabled включает в себя все включенные моды? Если так, то ее состав:

alias.conf
alias.load
auth_basic.load
authn_file.load
authz_default.load
authz_groupfile.load
authz_host.load
authz_user.load
autoindex.conf
autoindex.load
cgid.conf
cgid.load
deflate.conf
deflate.load
dir.conf
dir.load
env.load
mime.conf
mime.load
negotiation.conf
negotiation.load
reqtimeout.conf
reqtimeout.load
setenvif.conf
setenvif.load
status.conf
status.load

Логи ты смотреть не способен сам?

Способен. Понять какие - увы, нет. Могу часы гуглить, что собственно и делаю. Решил спросить у специалистов, чтоб процесс пошел быстрее. А может кому еще и ветка пригодится к прочтению. Думаю, я не одинок в проблеме.

Inpu
() автор топика
Ответ на: комментарий от strangeman

А он по дефолту не вырублен разве? Хотя поведение похожее, не спорю.

Вырублен, я установил его через apt-get и запустил.

Либо убунта палёная с мылру, либо ОП врёт насчёт чистоты настроек

Собственноручно скачал с http://www.kubuntu.org/getkubuntu/download

Что-то сомнения возникают что это апач виноват. iptraf, netstat в помощь.

я смотрел через jnettop. после

sudo service apache2 start
трафик составляет 3 Мб/с. И куча исходящих запросов.

после

sudo service apache2 stop
трафик составляет 1 кб/с.

Inpu
() автор топика
Ответ на: комментарий от Harald

а neststat -A inet -n -p что говорит, какие процессы создают соединения?

До запуска апача:

netstat -A inet -n -p
Активные соединения с интернетом (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State       PID/Program name
tcp        0      0 192.168.1.5:49142       108.160.163.37:80       ESTABLISHED 5188/dropbox
tcp        0      1 192.168.1.33:51729      87.240.131.101:443      FIN_WAIT1   -
tcp        0      0 192.168.1.5:22          217.66.152.101:53220    ESTABLISHED 11337/sshd: max [pr
tcp        0    240 192.168.1.5:22          217.66.157.165:44537    ESTABLISHED 12214/sshd: max [pr
tcp        0      0 192.168.1.5:55634       195.214.192.108:993     ESTABLISHED 2499/akonadi_imap_r
tcp        0      0 192.168.1.5:51785       94.100.180.90:993       ESTABLISHED 2498/akonadi_imap_r

После запуска апача:

netstat -A inet -n -p
Активные соединения с интернетом (w/o servers)
Proto Recv-Q Send-Q Local Address Foreign Address State       PID/Program name
tcp        0      0 192.168.1.5:80          64.31.43.142:3934       SYN_RECV    -
tcp        0      0 192.168.1.5:80          119.55.40.154:1365      SYN_RECV    -
tcp        0      0 192.168.1.5:80          111.161.77.204:24792    SYN_RECV    -
tcp        0      0 192.168.1.5:49142       108.160.163.37:80       ESTABLISHED 5188/dropbox
tcp        0      0 192.168.1.5:22          217.66.152.101:53220    ESTABLISHED 11337/sshd: max [pr
tcp        0    240 192.168.1.5:22          217.66.157.165:44537    ESTABLISHED 12214/sshd: max [pr
tcp        0      0 192.168.1.5:55634       195.214.192.108:993     ESTABLISHED 2499/akonadi_imap_r
tcp        0      0 192.168.1.5:51785       94.100.180.90:993       ESTABLISHED 2498/akonadi_imap_r

Inpu
() автор топика
Ответ на: комментарий от Inpu

Это не исходящий трафик апача, это боты лезут смотреть на твой апач. Исходящий выглядел бы как:

192.168.1.5:24792 111.161.77.204:80

Логи посмотри, там же видно, что к тебе кто зря лезет

anonymous
()
Ответ на: комментарий от strangeman

Мы про mod_proxy, а не про сам апач. :)

устанавливается в пакете с апачем. По дефолту отключен в настройках.

В апачиных логах-то чего?

Огрызок access.log

64.31.52.103 - - [05/Aug/2013:13:40:15 +0400] "GET http://ib.adnxs.com/tt?id=1591753 HTTP/1.0" 404 518 "http://www.healthylifestyleforus.com/how-to-coach-indoor-soccer.html" "Mozilla/5.0 (compatible; MSIE 10.0; Windows NT 6.1; WOW64; Trident/6.0)"
192.74.244.50 - - [05/Aug/2013:13:40:16 +0400] "GET http://ib.adnxs.com/ttj?id=1260090&size=728x90 HTTP/1.0" 404 519 "http://www.awninggame.com/game/9798/RVPM-Racing.html" "Mozilla/4.0 (compatible; MSIE 5.5; Windows 98; Alexa Toolbar)"
64.31.52.98 - - [05/Aug/2013:13:40:16 +0400] "GET http://ib.adnxs.com/tt?id=1591754 HTTP/1.0" 404 518 "http://www.healthylifestyleforus.com/sprint-workouts-for-beginners.html" "Mozilla/4.0 (compatible; MSIE 5.01; Windows 98; Alexa Toolbar)"
173.208.44.37 - - [05/Aug/2013:13:40:16 +0400] "GET http://ad.tagjunction.com/st?ad_type=iframe&ad_size=300x250&section=2955972&pub_url=${PUB_URL} HTTP/1.0" 404 524 "http://educationse.com/index.php?option=com_content&view=category&layout=blog&id=68&Itemid=280&limitstart=21" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705; Alexa Toolbar)"
192.69.204.76 - - [05/Aug/2013:13:40:16 +0400] "GET http://ads.clovenetwork.com/ttj?id=1458437&pubclick=[INSERT_CLICK_TAG] HTTP/1.0" 404 527 "http://yourhealthsites.com/category/health-insurance" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.2; .NET CLR 1.1.4322; .NET4.0C; Tablet PC 2.0)"
199.116.113.207 - - [05/Aug/2013:13:40:16 +0400] "GET http://l19.member.sp1.yahoo.com/config/pwtoken_get?login=graza_&src=ntverifyint&passwd=61aec87fd6edefcb2a82c20bb64a3267&challenge=xBtpTVh67ny6TL.IjUg4HcH81gOo&md5=1 HTTP/1.0" 404 509 "-" "MobileRunner-J2ME"
94.180.32.175 - - [05/Aug/2013:13:40:16 +0400] "GET http://www.baidu.com/ HTTP/1.1" 200 604 "http://www.baidu.com/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"

Огрызок error.log последнего включения

[Mon Aug 05 13:40:11 2013] [notice] Apache/2.2.22 (Ubuntu) configured -- resuming normal operations
[Mon Aug 05 13:40:11 2013] [error] [client 208.115.124.141] File does not exist: /var/www/tt, referer: http://oslfy.com/financial-information/islamic-banking-in-malaysia-presentation-of-financial-statements.html
[Mon Aug 05 13:40:11 2013] [error] [client 46.246.51.18] File does not exist: /var/www/proxy.php, referer: RefererString
[Mon Aug 05 13:40:12 2013] [error] [client 208.115.200.197] File does not exist: /var/www/st, referer: http://www.evigs.com/injury-cases-shows/work-injury-cases/longshore-and-maritime-work-injury-claims.html
[Mon Aug 05 13:40:12 2013] [error] [client 216.144.247.136] File does not exist: /var/www/tt, referer: http://eiaok.com/mortgage-debt/top-5-ways-to-work-with-a-mortgage-broker-or-agent.html
[Mon Aug 05 13:40:12 2013] [error] [client 69.162.66.44] File does not exist: /var/www/tt, referer: http://oslfy.com/financial-advisor/find-a-financial-advisor-that-wont-charge-you.html/trackback
[Mon Aug 05 13:40:12 2013] [error] [client 199.48.166.165] File does not exist: /var/www/w, referer: http://www.tarryhealth.com/celebrity-workouts
[Mon Aug 05 13:40:12 2013] [error] [client 64.31.43.132] File does not exist: /var/www/st, referer: http://www.viesea.com/laws-and-regulations/laws/criminal-law/criminal-law-topic-identity-theft-illegal-aliens-and-the-supreme-court.html
[Mon Aug 05 13:40:13 2013] [error] [client 69.162.66.39] File does not exist: /var/www/tt, referer: http://oslfy.com/financial-analysis/the-essential-analysis.html
[Mon Aug 05 13:40:13 2013] [error] [client 108.62.192.29] File does not exist: /var/www/st, referer: http://www.justhostings.com/index.php?option=com_content&view=article&id=317:where-can-i-find-a-good-web-hosting-site-&catid=43:vps-hosting&Itemid=99
[Mon Aug 05 13:40:13 2013] [error] [client 64.31.52.99] File does not exist: /var/www/tt, referer: http://www.healthylifestyleforus.com/beaches-of-aruba.html
[Mon Aug 05 13:40:13 2013] [error] [client 64.31.43.142] File does not exist: /var/www/st, referer: http://www.viesea.com/legal-aid-services/debt-claims/credit-debt-settlement-why-debt-settlement-is-better-than-bankruptcy.html
[Mon Aug 05 13:40:14 2013] [error] [client 69.162.66.40] File does not exist: /var/www/tt, referer: http://oslfy.com/financial-advisor/effective-business-card-design-for-financial-advisors.html/
[Mon Aug 05 13:40:14 2013] [error] [client 23.19.130.170] File does not exist: /var/www/proxyheader.php
[Mon Aug 05 13:40:14 2013] [error] [client 173.234.247.19] File does not exist: /var/www/st, referer: http://businesr.com/index.php?option=com_content&view=article&id=548:-sustainability-increases-stockholder-value-&catid=44:tax-center&Itemid=82
[Mon Aug 05 13:40:15 2013] [error] [client 108.62.236.179] File does not exist: /var/www/st, referer: http://www.eduois.com/index.php?option=com_content&view=article&id=848:The-Baka-Pygmies-of-Cameroon&catid=63&Itemid=28
[Mon Aug 05 13:40:15 2013] [error] [client 64.31.52.103] File does not exist: /var/www/tt, referer: http://www.healthylifestyleforus.com/how-to-coach-indoor-soccer.html
[Mon Aug 05 13:40:16 2013] [error] [client 192.74.244.50] File does not exist: /var/www/ttj, referer: http://www.awninggame.com/game/9798/RVPM-Racing.html
[Mon Aug 05 13:40:16 2013] [error] [client 64.31.52.98] File does not exist: /var/www/tt, referer: http://www.healthylifestyleforus.com/sprint-workouts-for-beginners.html
[Mon Aug 05 13:40:16 2013] [error] [client 173.208.44.37] File does not exist: /var/www/st, referer: http://educationse.com/index.php?option=com_content&view=category&layout=blog&id=68&Itemid=280&limitstart=21
[Mon Aug 05 13:40:16 2013] [error] [client 192.69.204.76] File does not exist: /var/www/ttj, referer: http://yourhealthsites.com/category/health-insurance
[Mon Aug 05 13:40:16 2013] [error] [client 199.116.113.207] File does not exist: /var/www/config
[Mon Aug 05 13:40:16 2013] [notice] caught SIGTERM, shutting down
Inpu
() автор топика
Ответ на: комментарий от Inpu

это к тебе всякие боты ломятся, а сервер им отвечает 404 Not found, вот отсюда исходящий трафик и берется

Harald ★★★★★
()
Ответ на: комментарий от Harald

это к тебе всякие боты ломятся, а сервер им отвечает 404 Not found, вот отсюда исходящий трафик и берется

Да, спасибо. Сейчас по логам вижу. Но сейчас и исходящий у меня 3.8 кб/с, а не Мб/с. Яндекс с гуглом не ругаются больше. Авито лок снял.

Inpu
() автор топика
Ответ на: комментарий от Inpu

apache2ctl -MS

покажите хоть. Ну или конфиги апача. Все равно по access.log кажется, что они пытаются ваш сервер как прокси использовать. И судя по тому, что там не только 404, но и 200 ответы - у них это получается.

strangeman ★★★★
()
Ответ на: комментарий от strangeman
sudo apache2ctl -MS
apache2: Could not reliably determine the server's fully qualified domain name, using 127.0.1.1 for ServerName
VirtualHost configuration:
wildcard NameVirtualHosts and _default_ servers:
*:80                   is a NameVirtualHost
         default server 127.0.1.1 (/etc/apache2/sites-enabled/000-default:1)
         port 80 namevhost 127.0.1.1 (/etc/apache2/sites-enabled/000-default:1)
Loaded Modules:
 core_module (static)
 log_config_module (static)
 logio_module (static)
 version_module (static)
 mpm_worker_module (static)
 http_module (static)
 so_module (static)
 alias_module (shared)
 auth_basic_module (shared)
 authn_file_module (shared)
 authz_default_module (shared)
 authz_groupfile_module (shared)
 authz_host_module (shared)
 authz_user_module (shared)
 autoindex_module (shared)
 cgid_module (shared)
 deflate_module (shared)
 dir_module (shared)
 env_module (shared)
 mime_module (shared)
 negotiation_module (shared)
 reqtimeout_module (shared)
 setenvif_module (shared)
 status_module (shared)
Syntax OK

Так апач из коробки настроен. Не правил ничего.

А baidu как раз наиболее настырен.

Inpu
() автор топика
Ответ на: комментарий от Inpu

А еще такие есть в access.log:

...
23.19.130.162 - - [05/Aug/2013:04:55:27 +0400] "GET http://www.yahoo.com/ HTTP/1.0" 200 490 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
121.61.136.39 - - [05/Aug/2013:04:55:27 +0400] "GET http://www.sexkiste.com/?prm=pps&pr=&lg=de&ag=382&py=19&do=268&dp=1&sc=4&wm=18203&ts=direct HTTP/1.0" 200 490 "http://advicecreditscore.info/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"
223.91.46.201 - - [05/Aug/2013:04:55:51 +0400] "GET http://www.baidu.com/ HTTP/1.1" 200 427 "http://www.baidu.com/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
223.91.46.201 - - [05/Aug/2013:04:55:51 +0400] "GET http://www.baidu.com/?tn=71068039_1_pg HTTP/1.1" 200 427 "http://www.baidu.com/" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E)"
192.74.230.177 - - [05/Aug/2013:04:56:07 +0400] "GET http://www.zhiyejundao.com/ HTTP/1.1" 200 427 "http://www.baidu.com" "Mozilla/4.0"
192.74.230.177 - - [05/Aug/2013:04:56:10 +0400] "GET http://www.dao058.com/ HTTP/1.1" 200 427 "http://www.baidu.com" "Mozilla/4.0"
183.128.139.32 - - [05/Aug/2013:04:56:26 +0400] "GET http://www.yhwasu.net HTTP/1.1" 200 427 "http://www.yhwasu.net" "Mozilla/4.0"
78.186.18.207 - - [05/Aug/2013:12:22:50 +0400] "GET http://images.google.com/ HTTP/1.1" 200 911 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; WOW64; .NET CLR 1.1.4322; Media Center PC 5.0; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; .NET4.0E)"
178.33.214.234 - - [05/Aug/2013:14:28:46 +0400] "GET http://www.bing.com/ HTTP/1.1" 200 887 "http://www.bing.com" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)"
118.168.126.28 - - [05/Aug/2013:14:28:49 +0400] "GET http://www.google.com/ HTTP/1.1" 200 889 "-" "-"
...
Но от 700 кб выборке по ответам 200, от baidu.com в глазах рябит.

Inpu
() автор топика
Ответ на: комментарий от strangeman

предполагаю, что так:

$telnet localhost 80
Trying 127.0.0.1...
Connected to localhost.
Escape character is '^]'.
GET http://google.com

только что проверил — выдало главную страницу друпала, который у меня там сейчас лежит

anonymous
()

а может быть и тролян в апаче вшит. на моей памяти какой-то билд огнелиса спалился тем, что в убунте задрал dns прокси обращениями куда-то на приватный апишник, который он постоянно резолвил.

ckotinko ☆☆☆
()
Ответ на: комментарий от Inpu

Конфиг файлы apache2 посмотрите и покажите тут. Снифером подцепитесь на 80- й порт и вывод сюда (например, tcpdump).

aptitude install tcpdump tcpdump src port 80

Покажите активность веб-службы.

aptitude install htop htop

Dr_Behaviour
()
Ответ на: комментарий от ckotinko

Сейчас нормально все работает. Все-таки, думаю, что моя ошибка, чистая конфигурация работает безупречно. Это скорее у меня был включен mode_panic. Я долго возился, решил поставить чистую конфигурацию, и скорее всего похожие цифры 3.6-3.8 Мб и Кб сбили с толку. Посмотрел, в старой конфигурации действительно был включен mod_proxy.

Теперь думаю как его правильно настроить, или каким-либо иным путем наладить работу jenkins и gitblit через 80 порт.

Inpu
() автор топика
21 апреля 2014 г.

Было подобное, заметил когда оставил на какое-то время открытую проксю, просто у вас IP каким-либо образом уже попал в базу, может от провайдера достался такой. Я проблему решил брэндмауэром (пользователей веб сервера не много, блокирую по 403, которая отдается если обращаются на неправильный домен. Вы можете придумать проверку поинтереснее). для FreeBSD скрипт по cron:

#!/bin/sh rm /etc/blacklist-ipfw2.cfg cat /var/log/httpd-access.log | awk ' match($0, /^[0-9]+\.[0-9]+\.[0-9]+\.[0-9]+ .* 403 [0-9]+$/) {print $1}' | sort | uniq >> /etc/blacklist-ipfw2.cfg /sbin/ipfw delete 01061 /sbin/ipfw table 2 flush cat /etc/blacklist-ipfw2.cfg | while read line; do /sbin/ipfw table 2 add $line done /sbin/ipfw add 01061 deny ip from «table(2)» to me dst-port 53,80 recv rl0

В итоге трафик почти исчез, реальные юзеры не пострадали. Как вычеркнуть себя из базы спамеров способа пока не нашел.

anonymous
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.