• Super User

    Help urgente per stranezza server

    Cerco di spiegarni al meglio.

    Ho un server ( con Apache 2 ) : ho notato che ogni tanto lo stesso indirizzo IP del server accede alle pagine web con un numero sempre definito di accessi, esattamente 127 .

    Non solo , ma quando incontra una pagina php con un "include" all'interno del codice html , trovo nel log file l'IP del server come se avesse acceduto ai soli file previsti dall'include.

    Inoltre ho notato cha anche altri utenti qualche volta hanno un numero di pagine voiste pari a ...127.

    Ho un altro server , ma su questo non accade mai nulla di simile.

    La versione dell SO è la Centos 5.3 .

    Cosa c'è di sbagliato nella configurazione e perchè accede 127 volte lo stesso server ?

    P.S. : è giusto avere nell'Host adress 127.0.0.1 localhost , localhost.localdomain ?


  • User

    @bluwebmaster said:

    Cerco di spiegarni al meglio.

    Ho un server ( con Apache 2 ) : ho notato che ogni tanto lo stesso indirizzo IP del server accede alle pagine web con un numero sempre definito di accessi, esattamente 127 .

    Non solo , ma quando incontra una pagina php con un "include" all'interno del codice html , trovo nel log file l'IP del server come se avesse acceduto ai soli file previsti dall'include.

    Inoltre ho notato cha anche altri utenti qualche volta hanno un numero di pagine voiste pari a ...127.

    Ho un altro server , ma su questo non accade mai nulla di simile.

    La versione dell SO è la Centos 5.3 .

    Cosa c'è di sbagliato nella configurazione e perchè accede 127 volte lo stesso server ?

    P.S. : è giusto avere nell'Host adress 127.0.0.1 localhost , localhost.localdomain ?

    Ciao,
    non è molto chiaro il problema ma, per poter darti una risposta si dovrebbe dare un'occhiata al log di sistema.
    Ad ogni modo, nel file /etc/hosts è obbligatorio avere la configurazione che riporti.


  • Moderatore

    Difficile dirlo senza sapere cosa gira sul server esattamente. Ci sono distribuzioni con installati software anti-intrusione. Altri software fanno la scansione periodica degli url per verificare la presenza di falle.

    Insomma ci sono molte situazioni in cui può succedere una cosa del genere. Non ultima la possibilità che il programma di statistiche non sia tanto affidabile.

    E' importante capire quali e quanti programmi girano sul server e se il provider attua scansioni periodiche del server stesso, magari, talvolta, anche in locale.


  • Super User

    Grazie di cuore intanto per le risposte.

    Sul server ( in housing ) ci gira solo Apache, php, mysql.
    Il log file è quello di Apache ( access ) : praticamente ogni qual volta una pagina fa un include , mi ritrovo l'indirizzo del server come un qualunque altro IP di un client che accede a questi include.

    E fin qui, va bene,meglio va male ( mai successo su altri server )

    Tipo :

    95.110.xxx.xxx - - [14/Feb/2012:10:19:14 +0100] "GET /xxxx/index.php HTTP/1.0" 200 122817

    Dopodichè :

    95.110.xxx.xxx - - [14/Feb/2012:10:19:14 +0100] "GET /xxxx/nomefiledaincludere.php HTTP/1.0" 200 124171

    In alcuni tratti del log file di apache me lo ritrovo improvvisamente per ben 127 volte in sequenza rapida. 😮

    Altra cosa : agli inizi di una pagina ci sono degli include. Per quei file da includere agli inizi di pagina non fa accessi, mentre lo fa per gli include inseriti nel corpo del codice html, che però hanno negli include l'url completo del sito , insomma con http www miosito . com /pagina


  • Moderatore

    Le uniche possibilità che mi vengono in mente sono attacchi RFI e inclusioni di file php tramite url completo.

    Nel primo caso c'è qualcuno che ti bombarda di richieste nella speranza di trovare un buco. Nel secondo le inclusioni avvengono chiamando l'url e quindi passano per il webserver.


  • Super User

    Capisco : ma perchè 127 volte ?

    Qualche volta mi è capitato anche per qualche utente.

    :mmm: Che bel problema.


  • Moderatore

    @bluwebmaster said:

    Capisco : ma perchè 127 volte ?

    Qualche volta mi è capitato anche per qualche utente.

    :mmm: Che bel problema.

    uno script automatico che esegue l'operazione 127 volte per qualche sua folle ragione