Apache: zobrazování blank page

[e1]

Prevádzkujeme s kamošom menší webserver, a máme na ňom zopár webov. Nejaký čas už máme problém ktorého sa nevieme zbaviť. Kamoš je ten múdrejší, ale žiaľ v poslednom čase má iné povinnosti, takže sa tomu nemôže venovať naplno a ja už neviem čo s tým.
Problém: Apache pravidelne generuje prázdne stránky. Je to úplne náhodné, nedokážeme to regulovať. Väčšinou sa blank page zobrazuje ak sa na niektorú stránku dlhšie nepristupovalo. Vtedy je blank page na 75% istý. Resp. nie je to ani webom, skôr nejakou záhadnou kombináciou klienta a servera, lebo ak jeden web hodí blank page, tak ďalšie uź nie, napriek tomu že ich otváram po X dňoch.
OS Linux Gentoo, Apache 2.2.17, PHP 5.2.17 a MySQL 5.0.70. PHP a MySQL som vylúčil, ptoblém sa prejavuje aj na weboch ktoré sú generované Apachem, ako napr. Directory list, alebo Apache Server Status. Ak znovunačítam stránku (F5) ktorá mi dala blank page tak sa už zobrazí v poriadku. Nejaký nápad/návrh že kde by mohol byť problém?

[Reklama]

[Sten]

Podívejte se do logů (/var/log/apache, /var/log/syslog, dmesg). Můj soukromý tip by byl nedostatek file deskriptorů, případně firewall.

[McFly]

zapsat si čas, kdy jsi stránku (blank) zobrazil a pak dohledat v logu, jestli požadavek vůbec dorazil (a byl zpracován)..

[H0ax]

Jsi si jistej, že to nemáš hacknutý popř. injectnutej bordel do php/html nebo htaccessu?

[e1]

Ono sa to má tak, že aktuálne už som si istý že to je hacknuté. Ešte neviem ako, ale pravdepodobne došlo k úniku FTP hesiel, nakoľko v logoch vidím pripojenia na FTP z celej Ázie a na niekoľko účtov. Pravdepodobne sa jedná o únik hesiel zo staršej verzie Total Commander u viacerých užívateľoch.
Ďalej sa mi podarilo zistiť, že tie prázdne stránky nie sú vôbec prázdne, je na nich bordel, lenže ten som si včimol až keď som si otvoril web v IE. Google Chrome pri zobrazení zdrojového kódu webu refreshuje stránku a tá sa vtedy väčšinou načítala správne. Toto som tam našiel:

Kód: [Vybrat]

<script type="text/javascript" language="javascript"> var cewqwf=new Date( ); cewqwf.setTime(cewqwf.getTime( )+57008197); document.cookie="n_ses\x73_ok\x3d12\x389\x654420d8949011eb\x63\x65335\x3414\x3111e\x66"+"; path\x3d\x2f; expi\x72es="+cewqwf.toGMTString( ); </script>
<script>document.write(String.fromCharCode(59+1,100,105,118,32,115,116,121,108,101,61,39,100,105,115,112,108,97,121,58,110,111,110,101,39,62))</script><a href="http://keygenguru.com">crack</a>&nbsp; <h1><a href="http://keygenguru.com">serial</a>&nbsp; </h1><a href="http://keygenguru.com">crack download</a>&nbsp; 171.233.220.190 <h1><a href="http://downloadfilmovie.com/">download movies</a>&nbsp; </h1>221.175.24.162 <h1><a href="http://cracksguru.com">cracks</a>&nbsp; </h1><h1><a href="http://cracksguru.com">serials</a>&nbsp; </h1>221.100.236.115 <a href="http://www.alloemsoft.com">cheap oem software</a>&nbsp; <a href="http://www.alloemsoft.com">oem software</a>&nbsp; 249.58.246.142 <a href="http://softsalesterritory.com/software/adobe-acrobat-9.0-pro-extended.html">Adobe Acrobat 9</a>&nbsp; <a href="http://softsalesterritory.com/software/microsoft-windows-7-ultimate-x32-english.html">Microsoft Windows 7</a>&nbsp; 197.185.199.216 <a href="http://torrlib.com">free torrent downloads</a>&nbsp; <a href="http://torrlib.com">torrent search</a>&nbsp; <a href="http://torrlib.com">torrent</a>&nbsp; 47.211.149.161 <a href="http://findallpills.com/search/buy+levitra/">buy levitra</a>&nbsp; <h1><a href="http://findallpills.com/search/buy+cialis/">buy cialis</a>&nbsp; </h1>114.130.182.167 <h1><a href="http://downloadfilmovie.com/search/fantasy+movie/">fantasy movie</a>&nbsp; </h1>188.108.137.68 <a href="http://downloadfilmovie.com/search/where+to+download+free+movies/">where to download free movies</a>&nbsp; <a href="http://downloadfilmovie.com/search/free+music+movie+downloads/">free music movie downloads</a>&nbsp; <h1><a href="http://downloadfilmovie.com/search/100+free+movies+to+download/">100 free movies to download</a>&nbsp; </h1><a href="http://downloadfilmovie.com/search/tabitha+stevens+movie+downloads/">tabitha stevens movie downloads</a>&nbsp; <h1><a href="http://downloadfilmovie.com/search/100+download+free+movie/">100 download free movie</a>&nbsp; </h1>173.191.184.220 <h1><a href="http://findallpills.com/search/75+mg+effexor/">75 mg effexor</a>&nbsp; </h1><h1><a href="http://findallpills.com/search/motilium+and+fda/">motilium and fda</a>&nbsp; </h1>181.16.123.150 <a href="http://alloemsoft.com/search/divx/">buy divx</a>&nbsp; <a href="http://alloemsoft.com/search/Glary+Utilities/">buy Glary Utilities</a>&nbsp; <h1><a href="http://alloemsoft.com/search/freehand/">buy freehand</a>&nbsp; </h1><h1><a href="http://alloemsoft.com/search/Adobe+Acrobat+Prof/">buy Adobe Acrobat Prof</a>&nbsp; </h1><h1><a href="http://alloemsoft.com/search/treesize+pro/">buy treesize pro</a>&nbsp; </h1><h1><a href="http://alloemsoft.com/search/Microsoft+Windows+7+Professional+x64/">buy Microsoft Windows 7 Professional x64</a>&nbsp; </h1><h1><a href="http://alloemsoft.com/search/Hackman+Suite+Pro+9/">buy Hackman Suite Pro 9</a>&nbsp; </h1>45.239.98.167 <h1><a href="http://keygenguru.com/search/?search=avast">avast serial</a>&nbsp; </h1><a href="http://keygenguru.com/search/?search=advanced+system+care">advanced system care serial</a>&nbsp; <a href="http://keygenguru.com/search/?search=winrar">winrar crack</a>&nbsp; 177.132.100.152 <h1><a href="http://indiaformeds.com/order_inflammatory_en-us.html">Inflammatory</a>&nbsp; </h1><a href="http://metronidazole.org/buy_kamagra.html">buy kamagra</a>&nbsp; <h1><a href="http://metronidazole.org/buy_cialis.html">buy cialis 1.10 per pill</a>&nbsp; </h1>141.14.148.182 <h1><a href="http://oemshopdigital.com/d/slysoft-anydvd-hd-6.5-multilingual.html">Download SlySoft AnyDVD HD</a>&nbsp; </h1><h1><a href="http://oemshopdigital.com/d/microsoft-photodraw-2.0.html">Download Microsoft PhotoDraw</a>&nbsp; </h1><a href="http://oemshopdigital.com/d/1st-security-agent-pro-9.2_ftr3.html">Buy 1st Security Agent Pro OEM</a>&nbsp; <h1><a href="http://oemshopdigital.com/d/serious-magic-ultra-2_ftr2.html">Buy Serious Magic Ultra 2 online</a>&nbsp; </h1><h1><a href="http://oemshopdigital.com/d/microsoft-windows-7-ultimate-x64-english.html">Download Microsoft Windows 7 x64</a>&nbsp; </h1><a href="http://oemshopdigital.com/d/virtual-worlds-acova-addon-3.0_ftr3.html">Buy Virtual Worlds Acova Addon OEM</a>&nbsp; <a href="http://oemshopdigital.com/d/microsoft-windows-millennium-edition_ftr1.html">Cheap Microsoft Windows Millennium Edition</a>&nbsp; <a href="http://keygenguru.com/serial/cityville_503.html">Cityville 503</a>&nbsp; <h1><a href="http://oemshopdigital.com/d/sam-party-dj-3.4_ftr1.html">Cheap Sam Party Dj</a>&nbsp; </h1><h1><a href="http://keygenguru.com/serial/cityville_marble.html">Cityville marble</a>&nbsp; </h1><h1><a href="http://oemshopdigital.com/d/adobe-acrobat-8_ftr1.html">Cheap Adobe Acrobat 8</a>&nbsp; </h1><h1><a href="http://keygenguru.com/serial/cityville_questions.html">Cityville questions</a>&nbsp; </h1><a href="http://oemshopdigital.com/d/microsoft-office-xp-professional_ftr2.html">Buy Microsoft Office XP Professional online</a>&nbsp; <h1><a href="http://oemshopdigital.com/d/adobe-contribute-cs4-mac_ftr1.html">Cheap Adobe Contribute CS4 MAC</a>&nbsp; </h1><h1><a href="http://oemshopdigital.com/d/extensis-photoframe-2.5-for-adobe-photoshop.html">Download Extensis Photoframe for Adobe Photoshop</a>&nbsp; </h1>36.169.194.181 <a href="http://thesoftwaredownload.com/search/Sniffer/">facebook-chat-monitor-sniffer-1.2 serial</a>&nbsp; <h1><a href="http://thesoftwaredownload.com/search/cnc/">homemade cnc laser cutter</a>&nbsp; </h1><a href="http://thesoftwaredownload.com/search/asc/">modbus asc c#</a>&nbsp; <a href="http://thesoftwaredownload.com/search/chameleon/">chameleon software image</a>&nbsp; <h1><a href="http://thesoftwaredownload.com/search/Visual+Foxpro/">sample gdiplus foxpro</a>&nbsp; </h1><h1><a href="http://thesoftwaredownload.com/search/VB.NET/">english dictionary vb.net source</a>&nbsp; </h1><h1><a href="http://thesoftwaredownload.com/search/mac+os/">epson 740 os 8.6 utility</a>&nbsp; </h1>2.69.222.77 <h1><a href="http://cracksguru.com/search/ant+war+keygen/">ant war keygen</a>&nbsp; </h1><a href="http://cracksguru.com/search/lingo+9/">lingo 9 key</a>&nbsp; <h1><a href="http://cracksguru.com/search/active+wall/">active wall keygens</a>&nbsp; </h1><a href="http://cracksguru.com/search/windows+black/">windows black crack</a>&nbsp; <h1><a href="http://cracksguru.com/search/bs+recorder+gold+serial/">bs recorder gold serial</a>&nbsp; </h1><h1><a href="http://cracksguru.com/search/g+force/">g force keygen</a>&nbsp; </h1><a href="http://cracksguru.com/search/32bit+Win+7+keygen/">32bit Win 7 keygen</a>&nbsp; <a href="http://cracksguru.com/search/downloader/">downloader key generator</a>&nbsp; <h1><a href="http://cracksguru.com/search/cyberlink+powerdirector+9/">cyberlink powerdirector 9 serial number</a>&nbsp; </h1><h1><a href="http://cracksguru.com/search/adobe+illustrator+cs3+keygen/">adobe illustrator cs3 keygen</a>&nbsp; </h1>163.90.236.184 <h1><a href="http://buzz.yahoo.com/article/1:8840aded8f25bdb71b0c0b79cf47602f:450fac4426d4e0b64dd6b27d8963077e/Buy-Rosetta-Stone-Version-3-SpanishLatin-America-Level-1-2-3-Set-125">Rosetta Stone Version 3: Spanish(Latin America)</a>&nbsp; </h1><h1><a href="http://buzz.yahoo.com/article/1:8840aded8f25bdb71b0c0b79cf47602f:47346f006b40f57911a4005bda685211/Buy-Adobe-Dreamweaver-CS3-5995">Adobe Dreamweaver CS3</a>&nbsp; </h1>61.193.0.139 <h1><a href="http://digg.com/software/Buy_Alias_MotionBuilder_6_0_49_95_2">Alias MotionBuilder 6.0</a>&nbsp; </h1><a href="http://digg.com/software/Buy_SolidWorks_2009_x64_99_2">SolidWorks 2009 x64</a>&nbsp; 249.180.148.230 <a href="http://digg.com/health/Buy_Generic_Levitra_1_83_4">Buy Generic Levitra no prescription</a>&nbsp; <a href="http://indiaformeds.com/cheap_cialis_soft.html">Order Generic Cialis Soft</a>&nbsp; <a href="http://indiaformeds.com/cheap_luvox.html">Cheap Generic Luvox</a>&nbsp; 142.21.110.66 <a href="http://vogueshopstore.com/">armani dolce and gabbana</a>&nbsp; <h1><a href="http://vogueshopstore.com/">diesel mens fashion</a>&nbsp; </h1><a href="http://vogueshopstore.com/">tommy hilfiger jeans uk</a>&nbsp; <a href="http://vogueshopstore.com/">ed hardy perfume for men</a>&nbsp; 129.115.2.207 <a href="http://torrlib.com/search/year+one+torrent/">year one torrent</a>&nbsp; <h1><a href="http://torrlib.com/search/serial+box+torrent/">serial box torrent</a>&nbsp; </h1><a href="http://torrlib.com/search/bullet+for+my+valentine+fever+torrent/">bullet for my valentine fever torrent</a>&nbsp; <h1><a href="http://torrlib.com/search/tuneup+utilities+2010+torrent/">tuneup utilities 2010 torrent</a>&nbsp; </h1><h1><a href="http://torrlib.com/search/leona+lewis+echo+torrent/">leona lewis echo torrent</a>&nbsp; </h1><h1><a href="http://torrlib.com/search/fame+torrent/">fame torrent</a>&nbsp; </h1><a href="http://torrlib.com/search/death+at+a+funeral+2010+torrent/">death at a funeral 2010 torrent</a>&nbsp; 162.185.33.171
Cez Googla som našiel nejaké info, napr. http://www.uptime.cz/100452-site-a-internet_Linux-Apache-Attack.html, ale zatiaľ sa mi ešte nepodarilo nájsť škodlivý kód. Teraz idem meniť heslá pre všetky FTP účty a budem rozosielať užívateľom aj varovné maily aby použili aktuálnu verziu Total Commandera a skontrolovali si svoje PC., či nemajú nejakého trojana, alebo iný sajrajt. Žiaľ, naďalej to nerieš problém ako mohol byť systém napadnutý. Nepoužívame paranoidné nastavenia, ale na bezpečnosť sme vždy dávali pozor. Vyzerá to tak že niečo nám uniklo keď stačilo získať iba FTP prístup a už aj nám tam beží nejaký sajrajt. Keby sa chyba prejavovala iba pri jednom webe, tak nič nepoviem, ale problém ja na každom, nezávisle od domény a prístupov.

[Reklama]

[PCnity]

Ako su na tom u teba v php funkcie ala exec()? Jeden zly eval() a pokial nemas paranoidne php nastavenia tak rootnutie servera uz vacsinou pojde bez problemov. Vzdy sa najde nejaky exploit.

Inak popozen uzivatelov na SFTP. Nakolko OpenSSH snad od verzie 5.2 ak sa nemylim bezporblemov podporuje konfihuraciu typu force command internal sftp a jail do adresara per usera bez toho aby si musel vytvarat realny jail.

Cize pre php treba spravit list disablovanych funkcii, kazdy web ine UID/GID, etc, etc... a aj ked niekto ziska FTP/SFTP pristup ci uz legitimne alebo nie, nezmoze sa na nic.