这些天我的主机(a2hosting)与托pipe我的VPS的节点有问题,在此期间,我的用户注意到一个奇怪的行为,而不是在节点上出现问题时发生的几次重新启动。
这一切都开始时,我的一些网站用户联系我说,他们在网站上看到不同的图像(完全随机图像,不涉及我的网站),因为我不在家我closures从我的主机控制面板的服务器,担心黑客攻击。
几个小时后,我的用户告诉我服务器重新启动了(尽pipe我没有提到),而且我的用户说清除caching后他们没有看到他们的图像有什么问题了。 我一读到这个就closures它,甚至更害怕黑客攻击(但由于没有更改密码而感到困惑)
最后,当我回家时,我再次启动服务器,并检查日志。 没有可疑的日志活动,没有人login除了我之外的服务器,没有文件(我告诉那些不同的文件)已经改变。 唯一奇怪的是:
我已经做了一些检查,我的系统似乎很好,没有比我的访问,没有发现可疑文件(甚至没有我被告知的图像是不同的),我花了我所有的星期天检查可疑的活动,但我找不到任何。
所以,我已经打开了一个主机上的票,他们说,他们不能给我任何信息,但它更有可能是一个安全漏洞,而不是一个问题挂钩节点问题(除了重新启动,他们证实这是一个问题在他们身边),但老实说我不相信…虽然我可以想到自动重新启动和暂时更改的date之间的联系,我找不到任何相关的图像(这是唯一的这让我想到了一个安全问题,虽然我不能想到黑客会改变一堆随机图像和服务器date,但是然后恢复一切回来)。
我的问题是:
看起来像一个BGP更新结合默认主机select¹。 我收集数据时遇到了麻烦(由于我要支付升级的networking),但是这里是我得到的:
A2主机的路线在AS55293之下 。 你在/ 22和/ 23覆盖。 ASNpath在NUL附件当天的4月17日更新。 从LookingGlass (input您的IP,select路由然后探测):
core1.fmt2.he.net> show ip bgp routes detail 199.195.117.35 Number of BGP Routes matching display condition : 2 S:SUPPRESSED F:FILTERED s:STALE 1 Prefix: 199.195.116.0/23, Status: BI, Age: 19d20h14m55s NEXT_HOP: 206.223.119.132, Metric: 593, Learned from Peer: 216.218.252.168 (6939) LOCAL_PREF: 100, MED: 20, ORIGIN: igp, Weight: 0 AS_PATH: 12129 55293 2 Prefix: 199.195.116.0/23, Status: I, Age: 82d0h54m10s NEXT_HOP: 206.126.236.70, Metric: 685, Learned from Peer: 216.218.252.169 (6939) LOCAL_PREF: 100, MED: 20, ORIGIN: igp, Weight: 0 AS_PATH: 12129 55293 Last update to IP routing table: 2d19h12m13s, <--------- Right here 1 path(s) installed: (no data was here, maybe a removal) A2 Hosting的服务是WordPress。 当我通过地址访问你的服务器时,它服务于另一个WP站点 ,虽然我们习惯于考虑名字,但这也是为什么这很重要。
通过省略您的主机名称,服务器select了另一个站点(首先find或configuration为默认)。 浏览器不关心地址名称和服务器,只提供名称,以便服务器可以从configuration中select一个站点。 DNS也有PTR交叉检查地址的反向名称,但是你不知道:
$ dig PTR 35.116.195.199.in-addr.arpa. ;; ANSWER SECTION: ... 43200 IN PTR 199.195.116.35.static.a2webhosting.com.
对于共享主机,这意味着Web服务器必须依赖客户端提供的名称,而不是与DNS进行双重检查。 它不应该做的是发送错误的网站的内容,当它不确定(虽然很多人摆脱这一点,因为通常发生的最糟糕的是404)。 不幸的是,你的主机主要携带WordPress,错误的请求错误的服务器产生更大的成功机会。 SSL可以发出警告,但我不会指望这一点。
这是在您的服务器地址的谷歌的请求:
$ nc youraddress 80 GET / HTTP/1.1 HOST: www.google.com ..... HTTP 1.1 200 OK ...headers, html, nothing Google yet... <head>...<base href="http://www.google.com/" />... <meta name="generator" content="Joomla! - Open Source Content Management" /> <title>FillGood</title>...
这是相同的(错误的)回应。 如果我在您的网站上请求一个WordPress图片,但是它的路由错误,默认结束,并且与另一个网站的文件相匹配,这种情况就会发生。
NUL映像中的SIGTERM(15)暗示了sshd的正常closures,而不是利用漏洞,而NUL似乎是keepalive。 每秒钟几乎有5.5分钟(你提到closures几个小时),虽然iTerm和路由器发送Keepalive(NUL或^ @),但似乎服务返回没有中间日志。 我试图解散这些只是发生太快,因为思科路由器在路由更改的默认超时是270秒( 这里和这里 )… 4.5分钟…或完全是sshd正常closures的时间之间的差异(21:56:59),并在一秒内返回(22:01:30)。
这些事件在时间上是一致的,并且与人和脚本的持续时间保持一致,而不是随机的崩溃。 这一切都假设主机熬夜,DNS不支持,默认configuration,体系结构和SSH分开控制,可能会做基于主机的监狱。
你提到了Varoufakis和一辆摩托车,最近我在消息中看到他最近访问了Eurogroup Finance。 表皮生长因子的网站是在同一个子网 ,他们使用/ WP ,但他们的服务器响应正确的未知主机名。 由于你有两个覆盖你的子网),可能有大约500个默认网站的地址要检查,但主要的问题似乎是不是每个服务器都设置了默认网站或墙。
这真的取决于他们,但一个通用的“WordPress不兼容”页面应该可能会出现,所以当我玩他们的国际象棋时,我不会被提供另一个服务器的鞋库。 由于路由断裂,共享脚本和cookie的潜力已经存在,熟悉BGP的任何人都可能在这里看到更多的问题。 这些网站应该以与拒绝交叉共享内容相同的方式进行分解。
¹及时的假设信息通常更重要,但是我原来的文字太投机了。 对不起,延迟。
²为了更改时间戳,请尝试查找引用ntp或ntpd的日志,以查看系统是否与意外的时间源同步。