getty auf port 80?

From: Oliver Lehmann <lehmann(at)ans-netz.de>
Date: Tue, 24 Jun 2003 22:21:14 +0200

Hallo,

mir is gerade bei nem sockstat folgendes aufgefallen:

root getty 704 0 tcp4 XXXX:80 66.147.154.3:35184

Der passende Prozess dazu:

root 704 0.0 0.1 1232 836 ?? I 12Jun03 0:00.01
/usr/libexec/getty std.9600 ttyd0

Ich frage mich da, wie das ganze zustandekommt? Von der selben IP habe ich
noch einen langsam sterbenden Eintrag bei netstat (jedoch anderer
Zielport)

c5d403f0 tcp4 0 0 XXXX.80 66.147.154.3.40926 TIME_WAIT

Wenn ich jetzt das ttyd0 in der ttys wieder auf "off" stelle und n HUP an
1 sende ist der sockstat "Eintrag" weg. auch bei erneutem on und HUP kommt
er nicht wieder.....

Meinem access_log vom apache zur Folge ist das ein Crawler

access_log:66.147.154.3 - - [24/Jun/2003:22:03:47 +0200] "GET /alpha-boot
HTTP/1.0" 301 234 "-" "http://www.almaden.ibm.com/cs/crawler [wf84]"

Hat einer ne Idee was da abging?

Ich habe auch oefters established Verb. bei netstat angezeigt wo ich
keinen Prozess zu finden kann.

root(at)avocado logs> netstat -Aan | grep '\.80.*ESTABL'
c7eaa2d0 tcp4 3818 0 XXXX.80 80.198.74.17.3036 ESTABLISHED
root(at)avocado logs> fstat |grep c7eaa2d0
root(at)avocado logs>

root(at)avocado logs> tcpdump -i rl0 host 80.198.74.17
tcpdump: listening on rl0
22:12:25.514834 XXXX.http > x1-6-00-20-40-2f-47-b7.k93.webspeed.dk.3036: .
ack 3528572011 win 0
22:12:25.514999 XXXX.http > x1-6-00-20-40-2f-47-b7.k93.webspeed.dk.3036: .
ack 1 win 62782 (DF)
22:12:25.984184 x1-6-00-20-40-2f-47-b7.k93.webspeed.dk.3036 > XXXX.http: .
ack 1 win 17316 (DF)

Und dann ist Ruhe... Wiso wird die Verb. nicht geclosed?

Es ist ein 5.1-REL mit
options ACCEPT_FILTER_HTTP
im Kernel. liegt dort der Hase begraben? Es kommt einfach zu wenig mit
einem Schwung um an den Apache weitergeleitet zu werden vom kernel? Kann
ich mir aber irgendwie nicht vorstellen. Apache stop/start und die Verb.
ist weg.

Kommt mir alles etwas spanisch vor... zumal auf Port 80 eigentlich der
httpd lauscht.

www httpd 77610 26 tcp4 *:80 *:*

-- 
 Oliver Lehmann
        @home: lehmann(at)ans-netz.de
      @office: oliver.lehmann(at)mgi.de
         @www: http://www.pofo.de/  |  http://wishlist.ans-netz.de/
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message
Received on Tue 24 Jun 2003 - 22:21:30 CEST

search this site