Что означают множественные слеши в колонке Request в server-status?

123
aprika
На сайте с 05.06.2006
Offline
144
#11
Sitealert:
Как-то противоречиво всё. Почему же тогда лог энджинкса пустой? Ведь запрос приходит сначала на порт 80. Откуда тогда много слэшей? Вроде как энджинкс их склеивает по умолчанию.

Хотя есть один интересный вариант. Это если сайт, расположенный на этом сервере, ломанули и гонят запросы скриптом прямиком на порт 8080.

Такой вариант рассматривался первым делом. Чисто все.

(◕‿◕)
Andreyka
На сайте с 19.02.2005
Offline
822
#12

И как же вы рассматривали такой вариант?

Не стоит плодить сущности без необходимости
R
На сайте с 14.02.2010
Offline
77
#13
aprika:
В логах пусто.

в логах Апача пусто?

не может такого быть.

если он в сервер-статусе вам пишет что про GET (по-сути уже сеанс установился) детали, то и в логах что-то должно быть.

либо не те логи смотрите либо они не ведутся для этого вирт.хоста.

aprika
На сайте с 05.06.2006
Offline
144
#14
Andreyka:
И как же вы рассматривали такой вариант?

Рассматривали - значит, предположили и проверили.

---------- Добавлено 09.11.2016 в 13:40 ----------

r0mik:
в логах Апача пусто?
не может такого быть.
если он в сервер-статусе вам пишет что про GET (по-сути уже сеанс установился) детали, то и в логах что-то должно быть.
либо не те логи смотрите либо они не ведутся для этого вирт.хоста.

В логах Апача ничего подозрительного нет: обычные посетители, обычные IP.

S
На сайте с 30.09.2016
Offline
469
#15
aprika:
Рассматривали - значит, предположили и проверили.

У каждого проверяющего свой уровень компетентности. Если нашли что-то - значит есть, а вот если не нашли - это ещё ничего не значит.

Если запрос есть на порт 8080, но его нет на порт 80, а внешний доступ к апачу закрыт - значит, запрос идёт прямиком с этого же сервера. Чудес не бывает, запрос не может материализоваться из пустоты.

Отпилю лишнее, прикручу нужное, выправлю кривое. Вытравлю вредителей.
R
На сайте с 14.02.2010
Offline
77
#16

так там не должно быть пусто, ибо у вас в серверстатусе явно висит запрос.

значит он проходит мимо логов.

ладно, не важно.

в вашем случае, наверное, проще всего в момент напасти остановить nginx дабы исключить влияние извне и отлавливать с помощью netstat активность.

но тут на 95% активность будет от апача, то есть от скрипта зловредного. хотя что угодно может быть, может быть у вас трафик заворачивается черти-как в netfilter

aprika
На сайте с 05.06.2006
Offline
144
#17
Sitealert:
У каждого проверяющего свой уровень компетентности. Если нашли что-то - значит есть, а вот если не нашли - это ещё ничего не значит.
Если запрос есть на порт 8080, но его нет на порт 80, а внешний доступ к апачу закрыт - значит, запрос идёт прямиком с этого же сервера. Чудес не бывает, запрос не может материализоваться из пустоты.

1. Все файлы на сайте изучили на предмет изменений и вставки скриптов.

2. Все возможные логи включены и изучены - как сказано с самого начала, там все чисто.

3. В качестве эксперимента сайт подняли на другом сервере, где установили последние версии ОС и софта. Картина не изменилась.

Куда дальше копать?

S
На сайте с 30.09.2016
Offline
469
#18
aprika:
1. Все файлы на сайте изучили на предмет изменений

Блажен, кто верует - тепло ему на свете (С). В CMS - десятки мегабайт кода. Замучаешься изучать. Проще перезалить файлы из исходника. Копать дальше некуда, без логов ничего не поймёте.

aprika
На сайте с 05.06.2006
Offline
144
#19

Прежде чем вручную мучиться, изучая десятки мегабайт кода, можно 99% из них отсеять автоматическим сравнением с этим самым исходником.

S
На сайте с 30.09.2016
Offline
469
#20

Но Вы так и не ответили на вопрос: откуда берётся запрос на порт 8080?

123

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий