странные логи nginx

Vladimir Rusinov vladimir на greenmice.info
Ср Июл 14 12:09:10 MSD 2010


Коллеги, нужна помощь!

Наблюдаются странности в логах nginx:

    log_format  my_combined  '$remote_addr - $remote_user [$time_local] '
                             '"$request" $status $body_bytes_sent '
                             '"$http_referer" "$http_user_agent" '
                             '$upstream_response_time "$host"';

Замечены вот такие записи:

38.126.142.4 - - [13/Jul/2010:22:17:02 -0700] "POST /ws_servlet/notifier
HTTP/1.1" 200 4 "https://www.wrike.com/open.htm?id=1775860" "Mozilla/5.0
(Windows;  ; Windows NT 5.2; en-US; rv:1.9.2.6) Gecko/20100625
Firefox/3.6.6 ( .NET CLR 3.5.30729; .NET4.0E)" 0.005 "www.wrike.com"
; Windows NT 5.2; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET
CLR 3.5.30729; .NET4.0E)" 0.005 "www.wrike.com"
; Windows NT 5.2; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET
CLR 3.5.30729; .NET4.0E)" 0.003 "www.wrike.com"
; Windows NT 5.2; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET
CLR 3.5.30729; .NET4.0E)" 0.005 "www.wrike.com"
; Windows NT 5.2; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET
CLR 3.5.30729; .NET4.0E)" 0.005 "www.wrike.com"
ws NT 6.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3" 0.004
"www.wrike.com"
ows NT 5.2; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET CLR
3.5.30729; .NET4.0E)" 0.004 "www.wrike.com"
ows NT 6.0; en-US) AppleWebKit/533.4 (KHTML, like Gecko)
Chrome/5.0.375.99 Safari/533.4" 0.004 "www.wrike.com"
 NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko) Chrome/5.0.375.99
Safari/533.4" 0.004 "www.wrike.com"
 0.004 "www.wrike.com"
1.3; OfficeLivePatch.0.0; InfoPath.1; .NET4.0C)" 0.001 "www.wrike.com"
ntel Mac OS X 10.5; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"
0.004 "www.wrike.com"
ows NT 5.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3" 0.004
"www.wrike.com"
ws; U; Windows NT 6.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko)
Chrome/5.0.375.99 Safari/533.4" 0.010 "www.wrike.com"
 U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko)
Chrome/5.0.375.99 Safari/533.4" 0.004 "www.wrike.com"
ntel Mac OS X 10_5_8; en-us) AppleWebKit/533.16 (KHTML, like Gecko)
Fluid/0.9.6 Safari/533.16" 0.004 "www.wrike.com"
; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko)
Chrome/5.0.375.99 Safari/533.4" 0.005 "www.wrike.com"
s; U; Windows NT 6.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko)
Chrome/5.0.375.99 Safari/533.4" 0.012 "www.wrike.com"
ws; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko)
Chrome/5.0.375.99 Safari/533.4" 0.011 "www.wrike.com"
onnector.1.3; OfficeLivePatch.0.0; InfoPath.1; .NET4.0C)" 0.001
"www.wrike.com"
le; MSIE 7.0; Windows NT 5.1; Trident/4.0; GTB6.5; InfoPath.2; .NET CLR
2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)" 0.005
"www.wrike.com"
29)" 0.001, 0.005 "www.wrike.com"
s; U; Windows NT 6.0; en-US) AppleWebKit/533.4 (KHTML, like Gecko)
Chrome/5.0.375.99 Safari/533.4" 0.031 "www.wrike.com"
ws NT 6.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko)
Chrome/5.0.375.99 Safari/533.4" 0.005 "www.wrike.com"
 U; Windows NT 5.1; en-US; rv:1.9.0.19) Gecko/2010031422 Firefox/3.0.19"
0.000, 0.005 "www.wrike.com"
tel Mac OS X 10.5; en-US; rv:1.9.2.6) Gecko/20100625 FireDownload/2.0.1
Firefox/3.6.6" 0.005 "www.wrike.com"
; OfficeLivePatch.0.0; InfoPath.1; .NET4.0C)" 0.000, 0.000 "www.wrike.com"
6; es-CL; rv:1.9.2.3) Gecko/20100423 Ubuntu/10.04 (lucid) Firefox/3.6.3"
0.001 "www.wrike.es"
 U; Windows NT 5.1; en-US; rv:1.9.0.19) Gecko/2010031422 Firefox/3.0.19"
0.004 "www.wrike.com"
; U; Windows NT 5.1; en-US; rv:1.9.2.3) Gecko/20100401 Firefox/3.6.3"
0.004 "www.wrike.com"
Intel Mac OS X 10.6; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6"
0.004 "www.wrike.com"
tel Mac OS X 10.6; da; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6" 0.004
"www.wrike.com"
 U; Windows NT 5.1; en-US; rv:1.9.2.4) Gecko/20100611 Firefox/3.6.4 (
.NET CLR 3.5.30729)" 0.004 "www.wrike.com"
dows; U; Windows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6
GTB7.1" 0.008 "www.wrike.com"
ndows NT 5.1; en-US; rv:1.9.2.4) Gecko/20100611 Firefox/3.6.4 (.NET CLR
3.5.30729)" 0.001 "www.wrike.com"
dows NT 5.1; en-US; rv:1.9.2.6) Gecko/20100625 Firefox/3.6.6 ( .NET CLR
3.5.30729)" 0.004 "www.wrike.com"
; U; Windows NT 5.1; en-US) AppleWebKit/533.4 (KHTML, like Gecko)
Chrome/5.0.375.99 Safari/533.4" 0.006 "www.wrike.com"
dows NT 5.1; en-US; rv:1.9.1.10) Gecko/20100504 Firefox/3.5.10 ( .NET
CLR 3.5.30729)" 0.004 "www.wrike.com"

и так далее в том же духе.

Почти сразу после возникновения такого в логах, наш сервис (jboss)
выжирает все коннекшены к базе, после чего его перезапускает мониторилка.
После перезапуска все нормализуется - логи имеют нормальный вид и все
работает.
Данная бяка появляется в логах каждый час в одно и то же время, но не
всегда ведет к падению - чаще пула хватает и через пару минут все тоже
приходит в норму. В запросах могут быть другие ip, однако 38.126.142.4
тоже появляется незадолго до либо после бяки в логах.

Ясно что это либо какой-то кривой робот, либо червь, но неясно почему
логи выглядят именно так.

Со стороны приложения пока не удалось отследить в чем дело.

$ nginx -V
nginx version: nginx/0.7.63
built by gcc 4.1.2 20080704 (Red Hat 4.1.2-46)
TLS SNI support disabled
configure arguments: --user=nginx --group=nginx
--prefix=/usr/share/nginx --sbin-path=/usr/sbin/nginx
--conf-path=/etc/nginx/nginx.conf
--error-log-path=/var/log/nginx/error.log
--http-log-path=/var/log/nginx/access.log
--http-client-body-temp-path=/var/lib/nginx/tmp/client_body
--http-proxy-temp-path=/var/lib/nginx/tmp/proxy
--http-fastcgi-temp-path=/var/lib/nginx/tmp/fastcgi
--pid-path=/var/run/nginx.pid --lock-path=/var/lock/subsys/nginx
--with-http_ssl_module --with-http_realip_module
--with-http_gzip_static_module --with-http_stub_status_module
--with-cc-opt='-O2 -g -m64 -mtune=generic'
--add-module=/usr/src/redhat//BUILD/nginx-0.7.63/nginx-upstream-fair
--add-module=/usr/src/redhat//BUILD/nginx-0.7.63/nginx_uploadprogress_module
--add-module=/usr/src/redhat//BUILD/nginx-0.7.63/nginx_upload_module-2.0.10/

upload и uploadprogress (пока) не используются.
nginx обновить попробую

-- 
Vladimir Rusinov
LinkedIn: http://www.linkedin.com/in/vrusinov




Подробная информация о списке рассылки nginx-ru