Re: Проксирование https-сайта

2013-12-03 Пенетрантность Dmitriy_K 
Не хватает подробностей, но на вскидку - может быть мелкая ошибка настроек
SSL в конфигах фронтэнда или бакэнда.
Надо проверить как везде прописан 443. Должно быть:
server {
listen 443 ssl;

Есть устаревший вариант:
listen 443;
ssl on;

И ещё должно быть:
proxy_pass  https://
- если бакэнд принимает соединение по SSL.

Posted at Nginx Forum: 
http://forum.nginx.org/read.php?21,245115,245156#msg-245156

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Вирус в бинарнике nginx

2013-12-03 Пенетрантность Михаил Монашёв 
Здравствуйте

Включите  дебаг-лог  и найдите в нём хотя бы один такой редирект. Если
будут вопросы, то скиньте кусок лога сюда.

-- 
С уважением,
 Михаил  mailto:postmas...@softsearch.ru

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: Вирус в бинарнике nginx

2013-12-03 Пенетрантность Maxim Dounin 
Hello!

On Tue, Dec 03, 2013 at 09:56:20AM -0500, wastemaster wrote:

[...]

 nginx генерит перенаправления выборочно некоторых посетителей.
 в логах эти редиректы не отражаются. 
 в целом ситуация очень похожа на описанную товарищами из eset
 http://habrahabr.ru/company/eset/blog/179115/

[...]

 все что смогли придумать - это снести всю операционнку

Собственно, если имеет место быть root compromise - это 
единственно правильное действие.

Ну то есть совсем сносить-то было не обязательно, правильным было 
бы отложить в сторонку, чтобы потом поизучать под микроскопом.  Но 
для работы - надо устанавливать систему заново с чистого носителя.

 И вот пока ждем замену по хостингу хочется выяснить все-таки как 
 это безобразие к нам проникло.

Была давеча замечательная история с cPanel, о которой в статье по 
ссылке, кстати, упоминается.  Но в общем случае способов куда как 
больше одного.

[...]

 Проверяли в /var/cache/apt/archives  лежит оригинальный пакет  nginx
 чексумма совпадает, чексумма по бинарнику на диске тоже совпадает с
 оригинальной.
 
 Те либо вражеская штука его перезапускает, либо видоизменяет прямо в памяти
 (если конечно такое возможно)

Возможно всё.

Вот тут, например, есть модуль для ядра Linux'а, который делает 
приблизительно то же самое:

http://seclists.org/fulldisclosure/2012/Nov/94
https://www.securelist.com/en/blog/208193935/New_64_bit_Linux_Rootkit_Doing_iFrame_Injections

-- 
Maxim Dounin
http://nginx.org/en/donation.html

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

listen на всех ип кроме 127/8

2013-12-03 Пенетрантность Nick Knutov 
А нет ли способа сделать listen на всех ип (как *:80), кроме 127/8 (и,
наверное, IPv6:::1) ?

Контекст - на разных 127.0.0/24 висят разные бэкенды, и им надо висеть
именно на 80ом порту, а внешний(ие) ип (на которые должен биндится
нгинх) часто меняются (и их количество вообще может быть не известно,
отвечать надо на всех). Хочется делать релоад нгинх без переписывания
кучи конфигов (виртуалхостов - много, очень много).

-- 
Best Regards,
Nick Knutov
http://knutov.com
ICQ: 272873706
Voice: +7-904-84-23-130

___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: listen на всех ип кроме 127/8

2013-12-03 Пенетрантность Dmitry Morozovsky 
On Wed, 4 Dec 2013, Nick Knutov wrote:

 А нет ли способа сделать listen на всех ип (как *:80), кроме 127/8 (и,
 наверное, IPv6:::1) ?
 
 Контекст - на разных 127.0.0/24 висят разные бэкенды, и им надо висеть
 именно на 80ом порту, а внешний(ие) ип (на которые должен биндится
 нгинх) часто меняются (и их количество вообще может быть не известно,
 отвечать надо на всех). Хочется делать релоад нгинх без переписывания
 кучи конфигов (виртуалхостов - много, очень много).

А что за система и ядро? Многие современные, IIUC, позволяют одному слушать на 
*:80 и остальным откусывать у него specific:80

-- 
Sincerely,
D.Marck [DM5020, MCK-RIPE, DM3-RIPN]
[ FreeBSD committer: ma...@freebsd.org ]

*** Dmitry Morozovsky --- D.Marck --- Wild Woozle --- ma...@rinet.ru ***


___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru

Re: listen на всех ип кроме 127/8

2013-12-03 Пенетрантность Igor Sysoev 
On Dec 4, 2013, at 1:44 , Dmitry Morozovsky wrote:

 On Wed, 4 Dec 2013, Nick Knutov wrote:
 
 А нет ли способа сделать listen на всех ип (как *:80), кроме 127/8 (и,
 наверное, IPv6:::1) ?
 
 Контекст - на разных 127.0.0/24 висят разные бэкенды, и им надо висеть
 именно на 80ом порту, а внешний(ие) ип (на которые должен биндится
 нгинх) часто меняются (и их количество вообще может быть не известно,
 отвечать надо на всех). Хочется делать релоад нгинх без переписывания
 кучи конфигов (виртуалхостов - много, очень много).
 
 А что за система и ядро? Многие современные,

[ не Линуксы ]

 IIUC, позволяют одному слушать на 
 *:80 и остальным откусывать у него specific:80


-- 
Igor Sysoev
___
nginx-ru mailing list
nginx-ru@nginx.org
http://mailman.nginx.org/mailman/listinfo/nginx-ru