<div dir="ltr">После нескольких дней ковыряния выяснилось, что сервер был взломан (точнее - каким то образом ушел рут доступ) и злоумышленник каким то образом модифицировал апач так, что часть трафа уходила "налево"<div>
Пересобрали серв с нуля</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">9 мая 2014 г., 9:20 пользователь Maxim Dounin <span dir="ltr"><<a href="mailto:mdounin@mdounin.ru" target="_blank">mdounin@mdounin.ru</a>></span> написал:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hello!<br>
<div class=""><br>
On Sat, May 03, 2014 at 09:57:31AM -0400, justcyber wrote:<br>
<br>
> Имеется аналогичная проблема:<br>
> 2014/05/03 17:41:45 [error] 1118#0: *2585 upstream prematurely closed<br>
> connection while reading response header from upstream, client:<br>
> 112.123.168.55, server: <a href="http://goodwing.ru" target="_blank">goodwing.ru</a>, request: "POST /wp-comments-post.php<br>
> HTTP/1.0", upstream: "<a href="http://xx.xx.xx.xx:80/wp-comments-post.php" target="_blank">http://xx.xx.xx.xx:80/wp-comments-post.php</a>", host:<br>
> "<a href="http://site.ru" target="_blank">site.ru</a>", referrer: "<a href="http://site.ru/2012/10/28/welcome/#comment-17681" target="_blank">http://site.ru/2012/10/28/welcome/#comment-17681</a><br>
<br>
</div>Сообщение чётко и однозначно говорит, что бекенд закрыл соединение<br>
в процессе чтения заголовков ответа от бекенда.  Почему и отчего он<br>
это сделал - надо смотреть на бекенде.<br>
<span class="HOEnZb"><font color="#888888"><br>
--<br>
Maxim Dounin<br>
<a href="http://nginx.org/" target="_blank">http://nginx.org/</a><br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
nginx-ru mailing list<br>
<a href="mailto:nginx-ru@nginx.org">nginx-ru@nginx.org</a><br>
<a href="http://mailman.nginx.org/mailman/listinfo/nginx-ru" target="_blank">http://mailman.nginx.org/mailman/listinfo/nginx-ru</a></div></div></blockquote></div><br></div>