[Apache2.x security] Onverklaarbare dowload/load/disk access

Pagina: 1
Acties:

  • SiliconError
  • Registratie: Januari 2000
  • Laatst online: 29-10-2025

SiliconError

:(){ :|:& };:

Topicstarter
Ik kom net de zolder oplopen, zie ik m'n server totaal door het lint gaan qua disk access. Ik inloggen om te kijken, want ik had al tijden niet ingelogd en zeker niks speciaals ermee in de planning voor vanavond.

Het inloggen ging al erg traag, en toen ik naar de load keek zag ik belachelijk hoge getallen (terwijl de machine normaal helemaal niks staat te doen).
Goed, zou kunnen dat er een proces doorgedraaid is, maar kijken met top leverde niks op, de load was belachelijk hoog, maar er was niet 1 proces wat eruit sprong (niet qua geheugengebruik en niet qua CPU load). Ook draaide er niks 'vreemds' wat dit zou kunnen veroorzaken.

Ik dus kijken naar mijn MRTG grafiekjes (zijn ze ook nog eens nuttig ;)):

Traffic:
Afbeeldingslocatie: http://silicon.xs4all.nl/private/traffic_vaag.png

Memory:
Afbeeldingslocatie: http://silicon.xs4all.nl/private/mem_vaag.png

Load:
Afbeeldingslocatie: http://silicon.xs4all.nl/private/cpuload_vaag.png

Zie ik dat er *iets* is geweest wat heel veel traffic heeft gegenereerd (of dat er iets is gestuurd :P). Dit was traffic naar de server zelf, want op de grafiek van outgoing op de andere netwerkkaart was niks te zien (die piek rond 22u).

Ik heb _GEEN_ cronjobs in de planning voor vandaag om deze tijd, en normaal gebeurt dit nooit.

Ik kan in de logs niks terugvinden (behalve de normale MARK's en deze meldingen:)
code:
1
2
3
4
Nov 21 21:57:45 server -- MARK --
Nov 21 22:16:58 server kernel: __alloc_pages: 0-order allocation failed (gfp=0x1f0/0)
Nov 21 22:16:58 server kernel: __alloc_pages: 0-order allocation failed (gfp=0x1f0/0)
Nov 21 22:16:58 server kernel: __alloc_pages: 0-order allocation failed (gfp=0x1d2/0)
code:
1
2
3
4
5
Nov 21 22:16:58 server kernel: VM: killing process httpd
Nov 21 22:19:53 server syslogd: /var/log/messages: Cannot allocate memory
Nov 21 22:19:52 server kernel: VM: killing process httpd
Nov 21 22:22:44 server kernel: VM: killing process httpd
Nov 21 22:26:07 server kernel: VM: killing process httpd
De access en errorlogs van apache waren ook normaal, dus dat kan het niet geweest zijn lijkt me. FTP log is ook niks bijzonders.

Nou is de machine verder niet zo belangrijk, en ga ik altijd uit van het goede in de mens... dus ik zal er zeker niet van wakker liggen vannacht.
De vraag is dus ook meer: wat kan dit geweest zijn?

[ Voor 9% gewijzigd door SiliconError op 21-11-2004 23:35 ]


Verwijderd

Zie http://kimihia.org.nz/articles/apachemem/, ik denk dat dat je probleem goed beschrijft? :)

offtopic:
Waarmee maak je die grafiekjes trouwens?

  • SiliconError
  • Registratie: Januari 2000
  • Laatst online: 29-10-2025

SiliconError

:(){ :|:& };:

Topicstarter
Die grafiekjes zijn standaard MRTG (http://people.ee.ethz.ch/~oetiker/webtools/mrtg/) grafiekjes.

Het apache-vreet-memory probleem heb ik wel ooit gehad met een vroege 2.nogwat versie (was een bug ofzo), maar dat is al minstens een jaar verholpen en sindsdien nooit meer voorgekomen.

Bovendien heb ik (volgens mij) geen vage rewrite-rules in gebruik (het is een min of meer standaard installatie, niks bijzonders).

Het verklaart trouwens ook die enorme piek in mijn incoming traffic niet (ik was niks aan het downloaden, en de data ging ook niet naar een van de client PC's).

De piek is trouwens echt het maximale wat mijn modempje kan halen, ik heb nog nooit zo'n snelheid gezien bij bijvoorbeeld een download. Alleen het lijkt me sterk dat iemand mij wil DDOSsen ofzo (en raakt je geheugen daar van op ?) :P

[ Voor 41% gewijzigd door SiliconError op 21-11-2004 23:49 ]


  • 0siris
  • Registratie: Augustus 2000
  • Laatst online: 07-02 23:33
afgezien van /var/log/syslog, wat geven /var/log/apache/access.log en /var/log/apache/error.log voor info?

ach...in een volgend leven lach je er om!


  • SiliconError
  • Registratie: Januari 2000
  • Laatst online: 29-10-2025

SiliconError

:(){ :|:& };:

Topicstarter
De access log laat niet veel bijzonders zien, een paar vage requests die dan ook weer terugkomen in de errorlog...
code:
1
2
3
4
5
6
7
194.109.66.33 - - [21/Nov/2004:21:25:02 +0100] "GET / HTTP/1.0" 400 7812
194.109.66.33 - - [21/Nov/2004:21:25:14 +0100] "GET / HTTP/1.1" 400 317
194.109.66.33 - - [21/Nov/2004:21:25:22 +0100] "GET / HTTP/1.0" 200 3988
194.109.66.33 - - [21/Nov/2004:21:25:27 +0100] "GET / HTTP/1.0" 400 7812
194.109.66.33 - - [21/Nov/2004:21:25:28 +0100] "GET / HTTP/1.0" 400 7812
194.109.66.33 - - [21/Nov/2004:21:25:29 +0100] "GET / HTTP/1.0" 400 7812
194.109.66.33 - - [21/Nov/2004:21:25:30 +0100] "GET / HTTP/1.0" 400 7812
De error log:
code:
1
2
3
4
5
6
7
8
9
10
11
[Sun Nov 21 21:25:03 2004] [error] [client 194.109.66.33] request failed: error reading the headers
[Sun Nov 21 21:25:14 2004] [error] [client 194.109.66.33] client sent HTTP/1.1 request without hostname (see RFC2616 section 14.23): /
[Sun Nov 21 21:25:27 2004] [error] [client 194.109.66.33] request failed: error reading the headers
[Sun Nov 21 21:25:28 2004] [error] [client 194.109.66.33] request failed: error reading the headers
[Sun Nov 21 21:25:29 2004] [error] [client 194.109.66.33] request failed: error reading the headers
[Sun Nov 21 21:25:30 2004] [error] [client 194.109.66.33] request failed: error reading the headers
[Sun Nov 21 22:22:45 2004] [error] [client 194.109.66.33] request failed: error reading the headers
[Sun Nov 21 22:27:12 2004] [error] [client 194.109.66.33] request failed: error reading the headers
[Sun Nov 21 22:28:01 2004] [error] [client 194.109.66.33] request failed: error reading the headers
[Sun Nov 21 22:28:05 2004] [error] [client 194.109.66.33] request failed: error reading the headers
[Sun Nov 21 22:28:09 2004] [error] [client 194.109.66.33] request failed: error reading the headers
Nu ik dat ip natrek, zie ik dat het van iemand uit mijn klas is die erg graag security-zaken test. Het zou kunnen dat hij ergens mee zit te knoeien...

Wat nog waarschijnlijker is (nooit aan gedacht 8)7), is dat hij RTSP verzoeken op mijn Apache heeft zitten afvuren (we zijn voor school bezig met streaming media, en RTSP lijkt op HTTP, dus misschien was ik vanavond het slachtoffer :D).

Ik zal het hem morgen vragen, ben wel benieuwd of hij die traffic-piek kan verklaren (dan had 'ie het wel even mogen aankondigen :P).

[ Voor 3% gewijzigd door SiliconError op 22-11-2004 00:32 ]


  • CyBeR
  • Registratie: September 2001
  • Niet online

CyBeR

💩

Ehm, dat IP is niet van iemand uit je klas lijkt me zo. Tenzij die coloklant is van XS4ALL.

194.109.66.33 is btw ns.koot.biz.

All my posts are provided as-is. They come with NO WARRANTY at all.


  • SiliconError
  • Registratie: Januari 2000
  • Laatst online: 29-10-2025

SiliconError

:(){ :|:& };:

Topicstarter
koot.biz is iig van die persoon uit mijn klas.
Het mysterie is ook opgelost, hij was deze exploit aan het uitproberen:

http://www.k-otik.com/exploits/20041118.apache-squ1rt.c.php

En dan nu maar wachten op een nieuwe Apache :P

  • BoAC
  • Registratie: Februari 2003
  • Laatst online: 07:00

BoAC

Memento mori

SiliconError schreef op maandag 22 november 2004 @ 10:50:
koot.biz is iig van die persoon uit mijn klas.
Het mysterie is ook opgelost, hij was deze exploit aan het uitproberen:

http://www.k-otik.com/exploits/20041118.apache-squ1rt.c.php

En dan nu maar wachten op een nieuwe Apache :P
Gentoo heeft em al opgelost:
This attack may be preventable with a properly configured
iptables ruleset. Gentoo already has a patch out in the
2.0.52-r1 release in the file 06_all_gentoo_protocol.patch
_/-\o_

  • PowerSp00n
  • Registratie: Februari 2002
  • Laatst online: 17-11-2025

PowerSp00n

There is no spoon

BoAC schreef op maandag 22 november 2004 @ 11:33:
[...]

Gentoo heeft em al opgelost:

[...]
_/-\o_
Kun jij die ruleset misschien met ons delen? Ik heb het voor de grap even hier geprobeert met een apache 2, en inderdaad apache schiet het memory in een keer helemaal vol en minder dan een halve minuut later reageert die kist helemaal niet meer...

  • BoAC
  • Registratie: Februari 2003
  • Laatst online: 07:00

BoAC

Memento mori

PowerSp00n schreef op maandag 22 november 2004 @ 12:15:
[...]
Kun jij die ruleset misschien met ons delen? Ik heb het voor de grap even hier geprobeert met een apache 2, en inderdaad apache schiet het memory in een keer helemaal vol en minder dan een halve minuut later reageert die kist helemaal niet meer...
Gentoo heeft een patch voor Apache 2.0.52 ;) en doet niets dmv een ruleset..
Zie changelog:
05 Nov 2004; Michael Tindal <urilith@gentoo.org> +apache-2.0.52-r1.ebuild:
Security fix for CAN-2004-0942, bug

  • PowerSp00n
  • Registratie: Februari 2002
  • Laatst online: 17-11-2025

PowerSp00n

There is no spoon

Ow ik zie het, heb het verkeerd begrepen. Voor de geinteresseerde is er hier nog een patch te vinden voor apache: [PATCH] CAN-2004-0942 fix

[ Voor 1% gewijzigd door PowerSp00n op 22-11-2004 13:57 . Reden: gebrepen = begrepen :z ]


  • Wilke
  • Registratie: December 2000
  • Laatst online: 10:51
Heb even de titel veranderd, want ik kan me indenken dat dit meer mensen gaat interesseren.
Pagina: 1