lug-bg: treason unloacked
- Subject: lug-bg: treason unloacked
- From: Nikola Antonov <nikola@xxxxxxxxxxxx>
- Date: Mon, 13 Jun 2005 00:02:08 +0300
- Delivered-to: lug-bg-list@xxxxxxxxxxxxxxxxxx
- Delivered-to: lug-bg@xxxxxxxxxxxxxxxxxx
- Organization: Linux For Bulgarians
Здравейте отново,
Става дума Apache 2.0.54 (Debian 3.1 Sarge). Машината е P4 2.8Ghz, 2GB RAM.
От известно време насам имам проблем с уебсървър, който хоства популярен сайт.
Няколко пъти в рамките на две-три седмици се случва да заваря apache
неработещ. Последното съобщение, записано в журнала, е:
caught SIGTERM, shutting down
Понеже не за първи път ми се случва тази машина да е обект на DoS, започнах да
търся подозрителни съобщения. Във /var/log/kernel.log се натъкнах на доста
интензивна поредица съобщения от типа:
kernel: TCP: Treason uncloaked! Peer xx.xx.xx.xx:32875/80 shrinks window
3845616564:38456193
24. Repaired.
IP-то не съм показал. Става дума за хост в чужбина, който нищо не ми говори.
Не е задължително това да има нещо общо с авариите на apache (възможно е да е
DoS, но е възможно съвсем несъзнателно да изпраща лоши пакети). Спецовете по
сигурността могат да си кажат думата, ако представлява интерес за тях.
Както и да е. Накрая реших да отрежа този хост като подозрителен на ниво
firewall. Интересното е, че въпреки невъзможността да достъпи 80 порт,
продължава да бълва същите заявки до 80 порт (около 7-8 на минута, но с
непостоянна честота). Заявките се блокират с iptables и сега вече пълнят
други логове:)
Интересува ме някой знае ли нещо повече за съобщението "kernel: TCP: Treason
uncloaked!" и ако това е причина за периодичния срив на apache, има ли начин
да се предотврати, без да се стига до блокиране на хостове с netfilter?
--
Nikola ANTONOV, Linux for Bulgarians
--
Public GnuPG key at http://wwwkeys.pgp.net
ftp://ftp.logos-bg.net/pub/Linux-BG.org/GPG_Keys/
Fingerprint: AD64 2468 0AB4 B298 E7E3 92DA 15F5 7AC5 A05E 0F63
--
Attachment:
pgptAnvkrjYgE.pgp
Description: PGP signature
|