The OpenNET Project / Index page

[ новости/++ | форум | wiki | теги | ]



"Apache2 как открытый прокси"
Вариант для распечатки  
Пред. тема | След. тема 
Форум WEB технологии (Apache, http-серверы)
Изначальное сообщение [ Отслеживать ]

"Apache2 как открытый прокси"  +/
Сообщение от sovdep (ok), 31-Авг-18, 22:52 
Апач версия 2.4.34, ОС - Ubuntu 18.04, kernel - 4.15.0-33-generic
На сервере установлен apache2, который выполняет роль frontend для tomcat.
В мониторинге было зафиксирован долгий отклик системы (app tomcat).
В логах apache увидел, что сервер проксирует левые запросы с приличной скоростью.
В первую очередь выключил конфиг (a2dissite service.conf) и добавил тестовый без прокси, который выдает статическую index.html (без proxypass и т.д.). Выгрузил прокси модули в апач (a2dismod proxy_module proxy_http_module && systemctl reload apache2) ситуация не поменялась.
Тогда решил заменить fronend на nginx, удалил apache и все его модули, установил ngingx настроил конфиг, пока без проксирования и всё то же самое.
Вообщем проблема не в апач получается.
Где что ещё посмотреть? не пойму.


Ответить | Правка | Cообщить модератору

Оглавление

Сообщения по теме [Сортировка по времени | RSS]


1. "Apache2 как открытый прокси"  +/
Сообщение от ыы (?), 31-Авг-18, 23:24 
>[оверквотинг удален]
> В логах apache увидел, что сервер проксирует левые запросы с приличной скоростью.
> В первую очередь выключил конфиг (a2dissite service.conf) и добавил тестовый без прокси,
> который выдает статическую index.html (без proxypass и т.д.). Выгрузил прокси модули
> в апач (a2dismod proxy_module proxy_http_module && systemctl reload apache2) ситуация
> не поменялась.
> Тогда решил заменить fronend на nginx, удалил apache и все его модули,
> установил ngingx настроил конфиг, пока без проксирования и всё то же
> самое.
> Вообщем проблема не в апач получается.
> Где что ещё посмотреть? не пойму.

Вы сделали кучу странных вещей кроме одной, действительно нужной- замерить время отклика непосредственно с tomcat

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "Apache2 как открытый прокси"  +/
Сообщение от sovdep (ok), 31-Авг-18, 23:33 
> Вы сделали кучу странных вещей кроме одной, действительно нужной- замерить время отклика
> непосредственно с tomcat

Проблема не в томкат, проблема в том что апач каким то образом обслуживает "левый" запросы.
Кусочек лога апач:

91.134.204.253 - - [31/Aug/2018:23:27:21 +0300] "CONNECT www.instagram.com:443 HTTP/1.1" 200 914 "-" "-"
91.134.204.253 - - [31/Aug/2018:23:27:21 +0300] "\x16\x03\x01" 400 310 "-" "-"
221.229.204.156 - - [31/Aug/2018:23:27:21 +0300] "GET http://xkdscx.cn/ HTTP/1.1" 200 906 "http://www.baidu.com" "Mozilla/5.0 (compatible; Baiduspider/2.0; http://www.baidu.com/search/spider.html)"
111.27.68.121 - - [31/Aug/2018:23:27:21 +0300] "GET http://passport.q1.com/Validate/UserNameAjax?jsoncallback=js... HTTP/1.1" 404 300 "http://bbcs.q1.com/zhuce/zhuce_main_right.html" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:42.0) Gecko/20100101 Firefox/42.0"
91.134.204.253 - - [31/Aug/2018:23:27:21 +0300] "CONNECT www.instagram.com:443 HTTP/1.1" 200 914 "-" "-"
91.134.204.253 - - [31/Aug/2018:23:27:21 +0300] "\x16\x03\x01" 400 310 "-" "-"
180.109.80.215 - - [31/Aug/2018:23:27:21 +0300] "POST http://blog.ggtti.cn/admin/index.php?action=login HTTP/1.1" 404 292 "-" "Mozilla/5.0 (windows NT 5.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/37.0.0.0 MQQBrowser/6.6 Mobile Safari/537.36"
::1 - - [31/Aug/2018:23:27:21 +0300] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.4.34 (Ubuntu) OpenSSL/1.1.0h (internal dummy connection)"
91.134.204.253 - - [31/Aug/2018:23:27:21 +0300] "CONNECT www.instagram.com:443 HTTP/1.1" 200 914 "-" "-"
91.134.204.253 - - [31/Aug/2018:23:27:22 +0300] "\x16\x03\x01" 400 310 "-" "-"
46.99.113.69 - - [31/Aug/2018:23:27:22 +0300] "CONNECT account-public-service-prod03.ol.epicgames.com:443 HTTP/1.1" 400 339 "-" "-"
180.109.80.215 - - [31/Aug/2018:23:27:22 +0300] "POST http://blog.ggtti.cn/admin/index.php?action=login HTTP/1.1" 404 292 "-" "Mozilla/5.0 (windows NT 5.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/40.0.2214.114 Mobile Safari/537.36"
221.229.204.156 - - [31/Aug/2018:23:27:22 +0300] "GET http://xkdscx.cn/ HTTP/1.1" 200 906 "http://www.baidu.com" "Mozilla/5.0 (compatible; Baiduspider/2.0; http://www.baidu.com/search/spider.html)"
111.27.70.65 - - [31/Aug/2018:23:27:22 +0300] "GET http://passport.q1.com/Validate/UserNameAjax?jsoncallback=js... HTTP/1.1" 404 300 "http://bbcs.q1.com/zhuce/zhuce_main_right.html" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X; en) AppleWebKit/419 (KHTML, like Gecko) Safari/419.3"
91.134.204.253 - - [31/Aug/2018:23:27:22 +0300] "CONNECT www.instagram.com:443 HTTP/1.1" 200 914 "-" "-"
47.93.38.251 - - [31/Aug/2018:23:27:22 +0300] "GET http://mobile.12306.cn/weixin/leftTicket/query?leftTicketDTO... HTTP/1.1" 404 302 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2526.73 Safari/537.36"
91.134.204.253 - - [31/Aug/2018:23:27:22 +0300] "\x16\x03\x01" 400 310 "-" "-"
37.221.214.32 - - [31/Aug/2018:23:27:22 +0300] "CONNECT play.nuggetcraft.net:25565 HTTP/1.1\n" 400 310 "-" "-"

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "Apache2 как открытый прокси"  +/
Сообщение от ыы (?), 01-Сен-18, 09:31 
>> Вы сделали кучу странных вещей кроме одной, действительно нужной- замерить время отклика
>> непосредственно с tomcat
> Проблема не в томкат, проблема в том что апач каким то образом
> обслуживает "левый" запросы.
> Кусочек лога апач:
> 91.134.204.253 - - [31/Aug/2018:23:27:21 +0300] "CONNECT www.instagram.com:443 HTTP/1.1"
> 200 914 "-" "-"
> 91.134.204.253 - - [31/Aug/2018:23:27:21 +0300] "\x16\x03\x01" 400 310 "-" "-"

Вы пишите:
>В мониторинге было зафиксирован долгий отклик системы (app tomcat).

Надо посмотреть какой отклик непосредственно на tomcat

>В логах apache увидел, что сервер проксирует левые запросы с приличной скоростью.

Приведенный вами лог не показывает "обслуживания". Лог показывает обращения и размер отданного - от 300 до 914 байт... Что примерно соответствует тексту ошибки.
Покажите дамп того что он отдает клиенту. Снять можно через  tcpdump

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "Apache2 как открытый прокси"  +/
Сообщение от ыы (?), 01-Сен-18, 10:40 
> 91.134.204.253 - - [31/Aug/2018:23:27:21 +0300] "CONNECT www.instagram.com:443 HTTP/1.1"
> 200 914 "-" "-"
> 91.134.204.253 - - [31/Aug/2018:23:27:21 +0300] "\x16\x03\x01" 400 310 "-" "-"
> 221.229.204.156 - - [31/Aug/2018:23:27:21 +0300] "GET http://xkdscx.cn/ HTTP/1.1" 200
> 906 "http://www.baidu.com" "Mozilla/5.0 (compatible; Baiduspider/2.0; http://www.baidu.com/search/spider.html)"

Если же вас беспокоит само наличие подобных строк в логе веб сервера - то вам следует знать, что любой сервис торчащий в интернет испытывает на себе непрерывный поток попыток взлома, подбора паролей, сканирований и т.д.

Защитится от этого потока вы можете только одним способом- установкой файрвола приложений. Файрвол приложений либо покупается, либо можно на iptables чего нить наваять примитивненькое.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

5. "Apache2 как открытый прокси"  +/
Сообщение от ыы (?), 01-Сен-18, 10:43 
> 91.134.204.253 - - [31/Aug/2018:23:27:21 +0300] "CONNECT www.instagram.com:443 HTTP/1.1"
> 200 914 "-" "-"
> 91.134.204.253 - - [31/Aug/2018:23:27:21 +0300] "\x16\x03\x01" 400 310 "-" "-"
> 221.229.204.156 - - [31/Aug/2018:23:27:21 +0300] "GET http://xkdscx.cn/ HTTP/1.1" 200
> 906 "http://www.baidu.com" "Mozilla/5.0 (compatible; Baiduspider/2.0; http://www.baidu.com/search/spider.html)"

Если же эти строки в логе веб-сервера присутствуют не взирая на то что  веб сервер не смотрит в интернет, то вероятно кто-то чего-то в вашей сети не так наконфигурял...

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

6. "Apache2 как открытый прокси"  +/
Сообщение от sovdep (ok), 10-Окт-18, 10:28 
Решил проблему включением фильтра apache-proxy в fail2ban.
http://www.fail2ban.org/wiki/index.php/HOWTO_apache_proxy_fi...

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема


  Закладки на сайте
  Проследить за страницей
Created 1996-2018 by Maxim Chirkov  
ДобавитьПоддержатьВебмастеруГИД  
Hosting by Ihor