Итак, мой сервер apache работал медленно, и я просмотрел файлы журнала. Оказалось, что они выросли до 12 ГБ доступа с множества разных хостов, пытающихся получить доступ к /wpad.dat на одном из моих Vhosts.
Теперь рассматриваемый виртуальный хост - это универсальный виртуальный хост, который вызывается, когда браузер не предоставляет известное имя хоста.
В настоящее время я получаю тысячи запросов в минуту к "/wpad.dat", и, насколько мне известно в Google, это как-то связано с прокси-серверами? Но я не использую прокси-серверы, так почему меня буквально засыпают этими запросами.
я получаю Больше запросов в минуту для этого несуществующего файла, чем я получаю обычные запросы. Итак, я предполагаю, что я подвергся какой-либо атаке. Забавно то, что это обычно происходит только ночью (здесь, в Швеции), а не днем.
Размер выборки последних 500 запросов (то есть полминуты) показывает, что он состоит из 200 различных хостов, а небольшая выборка из них показывает, что все они являются действительными хостами (а не прокси TOR), поэтому некоторые DNS-серверы настроены неправильно ? Я запускаю DNS-сервер на машине.
Пожалуйста помоги! :)
РЕДАКТИРОВАТЬ Хост, к которому они обращаются, - "cluster.atlascms.se", поэтому они получают доступ http://cluster.atlascms.se/wpad.dat тысячи раз в минуту.
Теперь cluster.atlascms.se - это мой DNS-сервер аварийного переключения. Таким образом, все мои клиенты указывают свои поддомены на cluster.atlascms.se, который, в свою очередь, указывает им на текущий IP (главный сервер отказоустойчивого сервера).
Как кажется - это означает, что я получаю тонны и тонны запросов на cluster.arlascms.se - может ли это означать, что мой DNS неправильно настроен?
Машины будут искать файл WPAD.dat иерархически на основе своего собственного FQDN, если они настроены для автоматического обнаружения прокси. Итак, если ПК с Windows является членом домена c.d.e.com, он будет искать WPAD.dat в:
http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat
Скорее всего, где-то у кого-то есть домен, который является поддоменом одного из тех, на которых вы размещаете HTTP, и не настроил или не отключил автоматическое обнаружение прокси должным образом. Как следствие, они, вероятно, ищут иерархически.
Вполне возможно, что к этому их привел вирус; вероятно, что если машин, выполняющих запрос, очень много и они находятся в разных подсетях, это то, что происходит.
По возможности избегайте определения DNS-записи для поддомена wpad всего, что вы не собираетесь использовать для автоматического обнаружения прокси.
Если это не вариант, вы можете рассмотреть возможность использования фильтрации уровня 7 для поиска запросов для wpad.dat и отклонения пакетов с сообщением ICMP. На самом деле это может быть наиболее эффективным способом остановить трафик, если все IP-адреса не находятся в одной сети и их технический контакт в whois не реагирует на запросы.
Вещи, которые будут указывать хосту в определенном месте для wpad.dat, включают настройки домена, параметр имени домена в ответах DHCP и явную настройку в веб-браузере для загрузки информации прокси с некоторого URL-адреса.
Похоже, что ваша зона DNS eklundh.com определена запись с подстановочными знаками, указывающая на cluster.atlascms.se. Это включает wpad.eklundh.com. Я предлагаю вам добавить запись DNS, явно определяющую wpad.eklundh.com. к 127.0.0.1 или что-то.
Первое, что я бы сделал, - это попытаться выяснить, куда идут эти запросы. к, то есть их пункт назначения. Apache по умолчанию не регистрирует имя хоста, поэтому вы можете использовать tcpdump сделать краткий снимок и проверить его на предмет Host: заголовок запроса или измените формат журнала Apache для его регистрации. Я предпочитаю регистрировать его во втором бесполезном поле, например:
LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined
Как только вы узнаете, кому адресованы эти ошибочные запросы, вам станет ясно, что делать дальше. Например, может оказаться, что это какая-то большая компания example.se в этом случае вы можете найти их сетевых администраторов и накричать на них.
Просто к вашему сведению, ModSecurity поймает это и заблокирует. Comodo предоставляет набор правил. Вот запись в журнале. Я удалил данные, относящиеся к аккаунту, чтобы они были в нем, чтобы использовать их в качестве примера.
Ошибка Apache: [файл ""] [] [] [клиент xxx.xxx.xxx.xxx] ModSecurity: Доступ запрещен с кодом 403 (фаза 2). Соответствующая фраза ".dat /" в TX: extension. [file ""] ["] [id" 210730 "] [rev" 2 "] [msg" COMODO WAF: расширение файла URL ограничено политикой "] [data" .dat "] [серьезность" CRITICAL "] [имя хоста "удалено"] [uri "/wpad.dat"] [уникальный_id "WjFa06qDOW3DDPRieFmICgAAAEg"]
Была эта проблема и исправлена, создав файл wpad.dat, поместив в него страницу «эта страница оставлена пустой».
CPU ушел почти в ноль. Проблема кажется решенной.