Назад | Перейти на главную страницу

Mac Server Access.log обеспокоен, возможно, взломан? (новичок извините)

так выглядит мой журнал access.log (ну короткий фрагмент)

46.4.33.46 - - [20/Jul/2011:11:56:18 +0100] "GET http://allegro.pl/matematyka-wokol-nas-6-zeszyt-cwiczen-czesc-1-2-i1727657348.html HTTP/1.0" 200 31161
78.159.125.176 - - [20/Jul/2011:11:56:17 +0100] "GET http://gotgirlspeeing.com/ HTTP/1.1" 200 110698
78.159.125.176 - - [20/Jul/2011:11:56:20 +0100] "GET http://gotgirlspeeing.com/js/search.js HTTP/1.1" 200 2842
184.173.219.98 - - [20/Jul/2011:11:56:59 +0100] "GET http://ads.lzjl.com/newServing/getkey.php?cb=getkey&ob=Yesup.infinityads.Code[0]&nid=5&pid=17587&sid=28749&spid=0&ns=0&nw=1&zone=0&url=http://www.mypaydayloan.com/&oe=ISO-8859-1&t3642160 HTTP/1.0" 200 762
208.115.238.200 - - [20/Jul/2011:11:59:45 +0100] "GET http://ad.xtendmedia.com/st?ad_type=iframe&ad_size=728x90&section=1697345 HTTP/1.0" 200 4580
1.197.203.145 - - [20/Jul/2011:11:59:45 +0100] "GET http://www.hardjob.net/proxyheader.php HTTP/1.0" 200 723
122.228.236.202 - - [20/Jul/2011:11:59:45 +0100] "GET http://ad.reduxmedia.com/st?ad_type=iframe&ad_size=728x90&section=755027 HTTP/1.0" 200 4574
59.45.185.14 - - [20/Jul/2011:11:59:45 +0100] "GET http://ads.clicksor.com/showAd.php?nid=1&pid=174828&adtype=&sid=270818 HTTP/1.0" 200 1489
221.215.112.238 - - [20/Jul/2011:11:59:45 +0100] "GET http://media.fastclick.net/w/get.media?sid=60107&tp=5&d=j&t=n HTTP/1.0" 302 280

Весь мой журнал access.log заполнен строками, подобными приведенным выше. Некоторые, включая eBay ссылки, некоторые автомобильные сделки, некоторые порно. Я действительно потерялся во всем этом, может, кто-нибудь может дать совет?

Поскольку наши журналы стали выглядеть так, сервер действительно замедлился, когда дело доходит до обслуживания страниц, большую часть времени запросы запросов истекли.

Я предполагаю, что эти вещи связаны?

Большое спасибо,

Эллиотт

Когда вы видите запрос, который предназначен для удаленного URL-адреса, вы видите, что кто-то либо сканирует прокси-сервер - проверяет, могут ли они маршрутизировать трафик через вашу машину, - либо использует тот, который разблокирован.

Судя по кодам состояния 200 + 302, похоже, что ваша машина настроена с Apache mod_proxy, что означает, что люди перенаправляют трафик.

Если вы не используете mod_proxy намеренно, вам следует отключить его. Если вы используете его для каких-то целей, вам следует усилить безопасность.

В дополнение к ответу Стива вы можете проверить Используется ли мой сервер в качестве прокси или находится в стадии разработки DOS? В моем журнале apache много трафика - как указано там, ваш IP-адрес мог ранее использоваться ботнетом.