請問 LifeType 這一陣子有沒有發現已知的漏洞？

[jerome]

是這樣的，小弟有一台機器，上面只有裝小弟家裡的 blog 跟 gallery2，跟用真實路徑放一些作品，一直都運作的好好的，那個 blog 也不紅，只有親朋好友看而已。

可是這一兩個星期，非常奇怪，到訪的數量非常的高，重點是把機器真的整得無還手之力，整個 hang 在那裡，連 ssh 都連不上去，這是小弟使用 FreeBSD好幾年來，第一次遇過的現象。仔細去分析 log 檔，發現 mysql 都是一些很正常的查詢，倒是參觀者也不是機器人，但是會去把新的舊的一些日誌都去看過，好像在找啥東西。

直覺以為是自己系統的問題後來小弟把 mysql 的版本，由 3.23 換成 4.0，把 apache 也由 1.x 換成 2.0，問題還是一樣，後來更把這兩個東西，加上 linuxthreads ，自己做過壓力測試，利用砍站軟體還砍自己的站，有好一點，但是好不過兩天，問題又出現，也不像是 DDOS ，所以前來這裡請教各位先進。

小弟得重申一次，並不是質疑 LifeType 的能力，我朋友要裝 blog，我也是幫他們裝LifeType  ，只是這個情形太奇怪了，上面也只有裝 這兩個東西， gallery 沒看到有這種問題，所以來這裡問問。

作業系統： FreeBSD 4.11
PHP 版本 4.4.2
Mysql 4.0.26 with linuxthreads
Apache 2.0.55
P3 866 with 512MB RAM
LifeType 版本 1.03

apache 的 error 訊息，等我可以連上去時，再 PO  出來 

[ajer001]

我們的環境真相似，我最近也偶而會這樣的情況，怪異。
發生的時候進去看，httpd的數量都異常的多。

不過我前陣子沒有空仔細去分析，只能先消極的設定自動重開apache。
最近會開始檢查Log，以及可能會裝上mod_limitipconn來看看結果。

[jerome]

先貼一些我覺得之所以奇怪，會覺得是針對 plog 的地方
因為我的 blog 根本從剛開始還叫做 plog 時代，就沒有裝在 plog 的目錄下
我是直接放在 /home2/mybaby 裡面，這是我的的 home dir，也是 blog 的所在
可是我去分析這五天的 log ，有很多這種的查詢
既然我從沒有裝在這個目錄下，為何他會去找這個目錄，就很奇怪了
以下是一些例子

[Thu Apr 20 09:20:14 2006] [error] [client 219.81.161.243] File does not exist: /home2/mybaby/favicon.ico
[Thu Apr 20 09:20:14 2006] [error] [client 219.81.161.243] File does not exist: /home2/mybaby/plog
[Thu Apr 20 10:10:27 2006] [error] [client 222.156.64.144] File does not exist: /home2/mybaby/favicon.ico
[Thu Apr 20 10:10:27 2006] [error] [client 222.156.64.144] File does not exist: /home2/mybaby/plog
[Thu Apr 20 10:10:28 2006] [error] [client 222.156.64.144] File does not exist: /home2/mybaby/favicon.ico
[Thu Apr 20 10:10:28 2006] [error] [client 222.156.64.144] File does not exist: /home2/mybaby/plog
[Thu Apr 20 10:50:13 2006] [error] [client 220.169.27.97] script not found or unable to stat: /home2/mybaby/cgi-bin
[Thu Apr 20 10:50:13 2006] [error] [client 220.169.27.97] File does not exist: /home2/mybaby/plog
[Thu Apr 20 10:50:13 2006] [error] [client 220.169.27.97] script not found or unable to stat: /home2/mybaby/cgi-bin
[Thu Apr 20 10:50:13 2006] [error] [client 220.169.27.97] File does not exist: /home2/mybaby/plog
[Thu Apr 20 10:50:13 2006] [error] [client 220.169.27.97] script not found or unable to stat: /home2/mybaby/cgi-bin
[Thu Apr 20 10:50:13 2006] [error] [client 220.169.27.97] File does not exist: /home2/mybaby/plog
[Thu Apr 20 10:50:14 2006] [error] [client 220.169.27.97] script not found or unable to stat: /home2/mybaby/cgi-bin
[Thu Apr 20 10:50:14 2006] [error] [client 220.169.27.97] File does not exist: /home2/mybaby/plog
[Thu Apr 20 12:10:27 2006] [error] [client 61.218.112.122] File does not exist: /home2/mybaby/favicon.ico
[Thu Apr 20 12:10:27 2006] [error] [client 61.218.112.122] File does not exist: /home2/mybaby/plog
[Thu Apr 20 12:10:28 2006] [error] [client 61.218.112.122] File does not exist: /home2/mybaby/favicon.ico
[Thu Apr 20 12:10:28 2006] [error] [client 61.218.112.122] File does not exist: /home2/mybaby/plog
[Thu Apr 20 14:10:10 2006] [error] [client 218.34.217.197] File does not exist: /home2/mybaby/favicon.ico
[Thu Apr 20 14:10:10 2006] [error] [client 218.34.217.197] File does not exist: /home2/mybaby/plog
[Thu Apr 20 16:15:39 2006] [error] [client 210.243.143.125] File does not exist: /home2/mybaby/favicon.ico
[Thu Apr 20 16:15:39 2006] [error] [client 210.243.143.125] File does not exist: /home2/mybaby/plog

今天的 log，給大家參考看看
http://phofun.org/log.rar

[markwu]

我這幾天也遇到相同的情形。

主要是因為 Spam ... 實在太嚴重了！

雖然我們做了一堆 spam 的阻擋動作，但是都是在他 access 我們的網頁之後，這變成即使他沒辦法成功 spam，但是還是會消耗機器的資源。

我最近就在調一台主機，他的 Apache 只要一開，五分鐘內 200 request 全部佔滿。然後整台機器就100% 的被 hang 住了。

你必須要調整你的 apache 設定，並對 php 做一些調整。例如：

1. 把 max client 調小：LifeType 1.0.3 平均每一個 request 約從 12-20MB，所以你只有 512 MB 的機器，又是跟 mysql 一起用，那麼你的 maxclient 不能超過 30 個。超過就會用到 swap memory .... 那麼機器就會開始 hang 住。

2. 裝上 php 的 opcode compiler，例如 APC, zend optimizer 或是  eacelerator 都有幫助。

3. 把你的 mysql cache 打開，我建議你最少設 64M 。

Mark

[jerome]

謝謝 mark
我想問的是，如果先用被動的防堵某些IP，會不會改善一點？

因為我有試過關掉 mysql ，只開 httpd，是不會 hang 住的，
然後我用 netstat -a 去看連線的 IP，其實很多是不認識的，但是又常來熟面孔
如果這個時候去分析 log ，應該可以找出這些 spam 的 IP
把他直接擋掉

這是一個很鄉愿的作法啦，只是想到是不是可以這樣搞

[markwu]

可以！我也正在研究！

最好的方式是在 apache 就擋住，連 PHP 與 Mysql 都讓他們不要碰到。我目前在看這個，有興趣去看一下吧：

http://phorum.study-area.org/viewtopic.php?t=13643&postdays=0&postorder=asc&start=0

基本上，我們應該可以分析 spam 的 request pattern，然後判斷哪些是spam ... 然後殺無赦！

要不要，我想不到更好的方法了！

之前的防制  spam 措施，對小站沒問題，對大站全不是那麼一回事！

Mark

[james]

Hi all:
這個問題我也常遇到 (之前常一陣子機器就整個掛在那邊，一定要重開才能解決)
我現在的做法是非常笨的作法，從log檔中把一些亂找網頁的ip網段，整個ban掉.
且通常掛掉的時間都是在假日的晚上(從星期5晚上~星期天最常發生 )

這樣的情況會好一陣子，但是過一陣子又會在出現.
所以，我也非常期待能有好一點的解決方式，可以讓我星期假日不用去把機器重開 

James.

[jerome]

如果是 spam ，那應該是針對 LifeType 的個性出現的吧？
所以應該有架設 LifeType 的主機都有危險 
我突然想起來，我幾個朋友的小朋友 blog ，放在 DH 的，這一陣子都收到了警告信，我怎麼看也不覺得會有這麼高的 CPU 使用量，現在突然有一點懂了

james  可不可以把您手上 ban 的區段分享一下呀
這樣大家一起來做，可以先檔一陣子吧 

[bibicall]

可是用ban掉區段的方式
會不會變成「寧可錯殺一百，也不可放過一個」

[markwu]

如果是 spam ，那應該是針對 LifeType 的個性出現的吧？
所以應該有架設 LifeType 的主機都有危險 
我突然想起來，我幾個朋友的小朋友 blog ，放在 DH 的，這一陣子都收到了警告信，我怎麼看也不覺得會有這麼高的 CPU 使用量，現在突然有一點懂了

james  可不可以把您手上 ban 的區段分享一下呀
這樣大家一起來做，可以先檔一陣子吧 

這並非針對 LifeType 所出現的！以最有名的 porker 為例，他針對所有的Blog (Wordpress, MT, LifeType) 系統，幾乎都會攻擊。

只是防止的方式大部分的系統，包含 LifeType 在內，都是透過內容分析或比對來防止。

只是，你只要一動到『內容分析或比對』，那麼你就會動到系統資源。

另外， Blog 為了增加互動性，所以並沒有限制迴響或是引用的來源，所以你不用加入『會員』就可以迴響或是引用。這造成了 Spam 的猖獗。

Mark

[ericj]

你有用 ab 測過嗎? 我的硬體環境之前跟你很像
也是 apache 2.0 + FreeBSD 4 + 512Mb RAM
後來常常吃swap吃到爆炸,然後整個hang住,看log竟然只是幾個搜尋引擎的bot而已
真是太誇張了 -.-//..

然後我用ab做壓力測試 lifetype的連線
ab -c 50 -n 1000 做不到 26個 request 就開始吃swap,apache狂生 process

不過我後來換成 lifetype 就再也沒有發生過問題囉!
再用 ab 做壓力測試可以完整的做完，而且完全沒有吃到swap

建議你要不要換成 lighttpd 看看.如果需要 re-write rule還有一些設定的話
我可以晚點再寫文章整理一下:p

[markwu]

lighttpd 真的是比較好得選擇， apache 本身真的很耗記憶體！然後 LifeType 1.0 也是個吃記憶體的怪物，每一個 request 要 12-16M ...

LifeType 1.1 會好很多，我們已經降到每一個 reuest 約 5M 了。

Mark

[markwu]

建議你要不要換成 lighttpd 看看.如果需要 re-write rule還有一些設定的話
我可以晚點再寫文章整理一下:p

等你的文章！

Mark

[ericj]

我放到 安裝與設定 裡面的 http://forum.lifetype.org.tw/index.php?topic=2220.0

有興趣的可以試試看, llighttpd 是一個非常省資源，而且強大，發展中的 Web Server!

[markwu]

我其實滿喜歡 lighttpd 的，而且在 windows 下也跑得不錯喔！

Mark