У меня есть сервер linux apache, который несколько дней назад работал нормально. Произошло то, что в журнале доступа есть такие строки, а файл журнала увеличивается на много строк каждую секунду. Изначально я подозревал, что сервер был атакован, и остановил его. но через несколько дней, когда я запускаю сервер, происходит похожий журнал. Мне интересно, знает ли кто-нибудь, что происходит? это вызвано вирусом?
23.19.76.217 - - [17/Oct/2012:10:21:47 -0400] "GET http://ad.globe7.com/st?ad_type=iframe&ad_size=728x90§ion=3633732&pub_url=${PUB_URL} HTTP/1.0" 200 4497
142.54.177.114 - - [17/Oct/2012:10:21:47 -0400] "GET http://ad.globe7.com/imp?Z=300x250&s=3582878&T=3&_salt=3106601030&B=12&m=2&u=http%3A%2F%2Fwww.homesearchcar.com%2F%3Fp%3D184&r=1 HTTP/1.0" 302 -
Похоже, вы случайно настроили открытый прокси-сервер, и Интернет узнал об этом.
Итак, все и их мать теперь используют ваш сервер, чтобы проксировать свои веб-соединения и скрывать то, что они делают. В этом конкретном случае ваш сервер используется для злоупотребления рекламной сетью. Вы будете обвинены в этом.
Выключите сервер как можно скорее и перенастройте его на запретить прокси-доступ или разрешить только там, где это абсолютно необходимо.
попробуйте поместить это в свой .htaccess
#-Prevent proxy access
#
RewriteEngine on
RewriteCond %{HTTP:VIA} !^$ [OR]
RewriteCond %{HTTP:FORWARDED} !^$ [OR]
RewriteCond %{HTTP:USERAGENT_VIA} !^$ [OR]
RewriteCond %{HTTP:X_FORWARDED_FOR} !^$ [OR]
RewriteCond %{HTTP:PROXY_CONNECTION} !^$ [OR]
RewriteCond %{HTTP:XPROXY_CONNECTION} !^$ [OR]
RewriteCond %{HTTP:HTTP_PC_REMOTE_ADDR} !^$ [OR]
RewriteCond %{HTTP:HTTP_CLIENT_IP} !^$
RewriteRule .* - [F]
#
и вы заметите в журнале со второй по последнюю строку.
...732&pub_url=${PUB_URL} HTTP/1.0" 200 4497
становится
...732&pub_url=${PUB_URL} HTTP/1.0" 404 4497
Я только что столкнулся с той же проблемой, и на моем сервере определенно не работал открытый прокси - все запросы попадали на сайт по умолчанию, и это перегружало сервер базы данных. Похоже на плохо написанный ботнет для мошенничества с кликами - он пытается использовать открытые прокси, но не проверяет, успешен он или нет. Я видел запросы с ~ 1500 IP-адресов, поэтому блокировать их нецелесообразно.
Добавление этого в качестве первого (и, следовательно, по умолчанию) виртуального хоста сработало для меня.
<VirtualHost *:80>
ServerName default.only
<Location />
Order allow,deny
Deny from all
</Location>
</VirtualHost>
(из http://wiki.apache.org/httpd/ProxyAbuse)
Вариант, с которым я столкнулся, также запрашивал страницы на этих серверах объявлений:
Это не похоже на вирус, но на самом деле нам сложно рассказать вам много, поскольку мы не знаем, как выглядит "нормальный" трафик ... но в любом случае, если вы думаете, что это плохой трафик, вам следует заблокируйте его с помощью встроенного механизма apache или всегда есть брандмауэр)
взгляните на свой сценарий, который вызывается
http://ad.globe7.com/st
document.write("<span>Smart Tag Error: Malformed URL - ST_NO_AD_TYPE_GIVEN </span>");
http://ad.yieldmanager.com/imp?
// Invalid tag - code 1, Invalid size, entity=0
это нормальное поведение? это даже твое?