os: Linux version 2.6.32-042stab021.1 (root@rh6-build-x64) (gcc version 4.4.4 20100726 (Red Hat 4.4.4-13) (GCC) ) #1 SMP Thu Jul 14 18:02:30 MSD 2011 nginx: 1.4.4-1~squeeze
комплектность: root@server:/var/cache/apt/archives# nginx -V nginx version: nginx/1.4.4 TLS SNI support enabled configure arguments: --prefix=/etc/nginx --sbin-path=/usr/sbin/nginx --conf-path=/etc/nginx/nginx.conf --error-log-path=/var/log/nginx/error.log --http-log-path=/var/log/nginx/access.log --pid-path=/var/run/nginx.pid --lock-path=/var/run/nginx.lock --http-client-body-temp-path=/var/cache/nginx/client_temp --http-proxy-temp-path=/var/cache/nginx/proxy_temp --http-fastcgi-temp-path=/var/cache/nginx/fastcgi_temp --http-uwsgi-temp-path=/var/cache/nginx/uwsgi_temp --http-scgi-temp-path=/var/cache/nginx/scgi_temp --user=nginx --group=nginx --with-http_ssl_module --with-http_realip_module --with-http_addition_module --with-http_sub_module --with-http_dav_module --with-http_flv_module --with-http_mp4_module --with-http_gunzip_module --with-http_gzip_static_module --with-http_random_index_module --with-http_secure_link_module --with-http_stub_status_module --with-mail --with-mail_ssl_module --with-file-aio --with-cc-opt='-g -O2 -Wp,-D_FORTIFY_SOURCE=2' --with-ld-opt=-Wl,--as-needed --with-ipv6 nginx генерит перенаправления выборочно некоторых посетителей. в логах эти редиректы не отражаются. в целом ситуация очень похожа на описанную товарищами из eset http://habrahabr.ru/company/eset/blog/179115/ конечно есть еще вариант, что дело в наших скриптах, но мы их все проверили а потом и вовсе исключили этот вариант, когда увидели редирект с урла со статикой - те вместо того, чтобы отдать статический контент - nginx генерит 302 редирект. с той разницей, что тулзами приведенными в той статье проблема не детектируется. все что смогли придумать - это снести всю операционнку. И вот пока ждем замену по хостингу хочется выяснить все-таки как это безобразие к нам проникло. Сейчас активность вируса можно только фильтруюя трафик на интерфейсе через tcpdump на предмет 302 редиректов. Фильтруем в реальном времени - как только видим редирект - останавливаем nginx и переустанавливаем - запускаем заного. После этого проблема с редиректом пропадает на несколько часов, потом опять появляются редиректы уже на другой домен. nginx ставим отсюда deb http://nginx.org/packages/debian/ squeeze nginx deb-src http://nginx.org/packages/debian/ squeeze nginx apt-get install --reinstall nginx Проверяли в /var/cache/apt/archives лежит оригинальный пакет nginx чексумма совпадает, чексумма по бинарнику на диске тоже совпадает с оригинальной. Те либо вражеская штука его перезапускает, либо видоизменяет прямо в памяти (если конечно такое возможно) наружу у нас торчит mysql, postgres, nginx и все( Вариант с подбором пароля - маловерятный - пароли серьезные, в логах посторонней активности не замечено. Буду рад любым советам - может кто сталкивался. Как можно отсечь этой штуке пути отступления? Posted at Nginx Forum: http://forum.nginx.org/read.php?21,245164,245164#msg-245164 _______________________________________________ nginx-ru mailing list nginx-ru@nginx.org http://mailman.nginx.org/mailman/listinfo/nginx-ru
