- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Как-то противоречиво всё. Почему же тогда лог энджинкса пустой? Ведь запрос приходит сначала на порт 80. Откуда тогда много слэшей? Вроде как энджинкс их склеивает по умолчанию.
Хотя есть один интересный вариант. Это если сайт, расположенный на этом сервере, ломанули и гонят запросы скриптом прямиком на порт 8080.
Такой вариант рассматривался первым делом. Чисто все.
И как же вы рассматривали такой вариант?
В логах пусто.
в логах Апача пусто?
не может такого быть.
если он в сервер-статусе вам пишет что про GET (по-сути уже сеанс установился) детали, то и в логах что-то должно быть.
либо не те логи смотрите либо они не ведутся для этого вирт.хоста.
И как же вы рассматривали такой вариант?
Рассматривали - значит, предположили и проверили.
---------- Добавлено 09.11.2016 в 13:40 ----------
в логах Апача пусто?
не может такого быть.
если он в сервер-статусе вам пишет что про GET (по-сути уже сеанс установился) детали, то и в логах что-то должно быть.
либо не те логи смотрите либо они не ведутся для этого вирт.хоста.
В логах Апача ничего подозрительного нет: обычные посетители, обычные IP.
Рассматривали - значит, предположили и проверили.
У каждого проверяющего свой уровень компетентности. Если нашли что-то - значит есть, а вот если не нашли - это ещё ничего не значит.
Если запрос есть на порт 8080, но его нет на порт 80, а внешний доступ к апачу закрыт - значит, запрос идёт прямиком с этого же сервера. Чудес не бывает, запрос не может материализоваться из пустоты.
так там не должно быть пусто, ибо у вас в серверстатусе явно висит запрос.
значит он проходит мимо логов.
ладно, не важно.
в вашем случае, наверное, проще всего в момент напасти остановить nginx дабы исключить влияние извне и отлавливать с помощью netstat активность.
но тут на 95% активность будет от апача, то есть от скрипта зловредного. хотя что угодно может быть, может быть у вас трафик заворачивается черти-как в netfilter
У каждого проверяющего свой уровень компетентности. Если нашли что-то - значит есть, а вот если не нашли - это ещё ничего не значит.
Если запрос есть на порт 8080, но его нет на порт 80, а внешний доступ к апачу закрыт - значит, запрос идёт прямиком с этого же сервера. Чудес не бывает, запрос не может материализоваться из пустоты.
1. Все файлы на сайте изучили на предмет изменений и вставки скриптов.
2. Все возможные логи включены и изучены - как сказано с самого начала, там все чисто.
3. В качестве эксперимента сайт подняли на другом сервере, где установили последние версии ОС и софта. Картина не изменилась.
Куда дальше копать?
1. Все файлы на сайте изучили на предмет изменений
Блажен, кто верует - тепло ему на свете (С). В CMS - десятки мегабайт кода. Замучаешься изучать. Проще перезалить файлы из исходника. Копать дальше некуда, без логов ничего не поймёте.
Прежде чем вручную мучиться, изучая десятки мегабайт кода, можно 99% из них отсеять автоматическим сравнением с этим самым исходником.
Но Вы так и не ответили на вопрос: откуда берётся запрос на порт 8080?