Re: getty auf port 80?

On Tue, Jun 24, 2003 at 10:21:14PM +0200, Oliver Lehmann wrote:
> Hallo,
>
> mir is gerade bei nem sockstat folgendes aufgefallen:
>
> root getty 704 0 tcp4 XXXX:80 66.147.154.3:35184
>
> Der passende Prozess dazu:
>
> root 704 0.0 0.1 1232 836 ?? I 12Jun03 0:00.01
> /usr/libexec/getty std.9600 ttyd0
>
> Ich frage mich da, wie das ganze zustandekommt? Von der selben IP habe ich
> noch einen langsam sterbenden Eintrag bei netstat (jedoch anderer
> Zielport)

Klingt nach einem dummen Zufall.
sockstat versucht nur Filedescriptoren zwischen fstat und netstat zu
verbinden.
Ich würde sagen, da ist eine Recycelt worden, die im netstat Output
noch auftaucht.

> c5d403f0 tcp4 0 0 XXXX.80 66.147.154.3.40926 TIME_WAIT
>
> Wenn ich jetzt das ttyd0 in der ttys wieder auf "off" stelle und n HUP an
> 1 sende ist der sockstat "Eintrag" weg. auch bei erneutem on und HUP kommt
> er nicht wieder.....

Der getty wird andere IDs bekommen haben.

> Meinem access_log vom apache zur Folge ist das ein Crawler
>
> access_log:66.147.154.3 - - [24/Jun/2003:22:03:47 +0200] "GET /alpha-boot
> HTTP/1.0" 301 234 "-" "http://www.almaden.ibm.com/cs/crawler [wf84]"
>
> Hat einer ne Idee was da abging?

War wohl ein crawler :)

> Ich habe auch oefters established Verb. bei netstat angezeigt wo ich
> keinen Prozess zu finden kann.
>
> root(at)avocado logs> netstat -Aan | grep '\.80.*ESTABL'
> c7eaa2d0 tcp4 3818 0 XXXX.80 80.198.74.17.3036 ESTABLISHED
> root(at)avocado logs> fstat |grep c7eaa2d0

Später dazu mehr.

> root(at)avocado logs>
>
> root(at)avocado logs> tcpdump -i rl0 host 80.198.74.17
> tcpdump: listening on rl0
> 22:12:25.514834 XXXX.http > x1-6-00-20-40-2f-47-b7.k93.webspeed.dk.3036: .
> ack 3528572011 win 0
> 22:12:25.514999 XXXX.http > x1-6-00-20-40-2f-47-b7.k93.webspeed.dk.3036: .
> ack 1 win 62782 (DF)
> 22:12:25.984184 x1-6-00-20-40-2f-47-b7.k93.webspeed.dk.3036 > XXXX.http: .
> ack 1 win 17316 (DF)
>
>
> Und dann ist Ruhe... Wiso wird die Verb. nicht geclosed?

Port HTTP Verbindungen können einige Zeit offen gehalten werden, falls
später noch mal weitere Daten vom gleichen System benötigt werden.

> Es ist ein 5.1-REL mit
> options ACCEPT_FILTER_HTTP
> im Kernel. liegt dort der Hase begraben? Es kommt einfach zu wenig mit
> einem Schwung um an den Apache weitergeleitet zu werden vom kernel? Kann
> ich mir aber irgendwie nicht vorstellen. Apache stop/start und die Verb.
> ist weg.

Kann durchaus sein, daß ACCEPT_FILTER_HTTP die Ausgabe von netstat oder
fstat durcheinander bringt.
Das erklärt jedenfalls obige Verbingung ohne zugehörigen Prozess.
Mit ACCEPT_FILTER_HTTP nimmt der Kernel die Verbindung entgegen und ein
Prozess kümmert sich erst darum, wenn der Kernel HTTP erkennt.

> Kommt mir alles etwas spanisch vor... zumal auf Port 80 eigentlich der
> httpd lauscht.
>
> www httpd 77610 26 tcp4 *:80 *:*

Die Zeile sieht jedenfalls nicht ungewönhlich aus.

-- 
B.Walter                   BWCT                http://www.bwct.de
ticso(at)bwct.de                                  info(at)bwct.de
To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org
with "unsubscribe de-bsd-questions" in the body of the message