unerklärebare zugriffe von server auf sich selbst

[s20]

Hallo,

seid einiger Zeit registriere ich bei einem netstat -anp unter anderem folgenden unerklärbaren output:

Code: Select all

tcp        0      0 217.160.XXX.YY:51529    217.160.XXX.YY:80       CLOSE_WAIT  8993/httpd
tcp        0      0 217.160.XXX.YY:51528    217.160.XXX.YY:80       CLOSE_WAIT  8987/httpd
tcp        0      0 217.160.XXX.YY:51531    217.160.XXX.YY:80       CLOSE_WAIT  8979/httpd

Der Server greift von einem HighPort auf sich selbst Port 80 zu. Kann mir jemand sagen was das sein könnte?

Danke S20

[jtb]

Vielleicht ein Proxy? Das Apache-Proxy-Modul versucht z.B. solche Verbindungen

[captaincrunch]

In dem Fall solltest du auch mal dringend schauen, ob deine Kiste nicht für Spam missbraucht wird.

[s20]

der sslproxy sollte solche verbindungen machen. ich prüf das mal.

danke

[s20]

laut den logs gibt es keinen der mich misbraucht. wieso bleiben die verbindungen so lange offen? ist das im apache proxy zu konfigurieren?

danke s20

[s20]

Hallo nochmals,

ich kann mir diese Zugriffe leider noch immer nicht erklären. Hat evtl. och jemand eine Idee wie ich der Sache auf den Grundgehen kann?

Danke S20

[thorsten]

hmm, versuch doch mal die Verbindung per tcpdump oder ethereal mitzusniffen.
Evtl. kannst du mit dem Inhalt dann mehr anfangen und das Problem eingrenzen...

[s20]

hallo,

mit tcpdump habe ich es bereits versucht.

Code: Select all

tcpdump -i eth0 dst host 217.160.XXX.YY and dst port 80 and src host 217.160.XXX.YY

sollte doch diese verbdindungen anzeigen? evtl. ist mein tcpdump filter falsch??

danke
s20

[s20]

Hallo,

das Problem ist gelöst. Eine der lokalen php Applikationen hat sich per http://server/datei ein file geladen. Dies erzeugt natürlich einen lokalen Zugriff auf den Port 80. Sinnvoll ist es nicht und daher habe ich den Zugriff jetzt auf das lokale File abgeändert.

Danke für die Hilfe S20