Назад | Перейти на главную страницу

Используется ли мой сервер в качестве прокси или находится в стадии разработки DOS? В моем журнале apache много трафика

У меня есть раздел с хостинг-провайдером, у которого есть базовая настройка стека ламп. Сегодня я проверял свои журналы apache, и я получаю случайный (кажется) запрос на мой сервер apache. Например, вот две записи:

174.129.95.125 - - [20/Jul/2011:07:28:27 +0000] "GET http://www.czhlk.com/sony/cheng2/error.asp HTTP/1.1" 200 11322 "http://www.baidu.com" "Mozilla/4.0"
117.41.235.133 - - [20/Jul/2011:07:28:29 +0000] "GET http://113.105.144.166:8083/Payrank.php HTTP/1.1" 200 11315 "http://113.105.144.166:8083/Payrank.php" "Mozilla/4.0"

Прямо сейчас у меня есть только несколько тестовых скриптов php, поэтому я не ожидал большого трафика, но я получаю несколько запросов в секунду с записями, похожими на только что опубликованные. Странно то, что если вы посмотрите на URL-адрес, запрошенный в журнале доступа, они не ссылаются на ресурсы на моей машине. Я установил chkrootkit и ничего не нашел. Я также проверил файл паролей и другие области, чтобы узнать, не взломал ли меня кто-нибудь. Пока я ничего не нашел, но я не системный администратор или что-то в этом роде, а просто разработчик программного обеспечения. Кроме того, все http-коды в журнале - 200, что для меня странно. Так как же мой apache возвращает 200 для HTTP-запросов, которые ничего не запрашивают на моем сервере? Я ожидал чего-то вроде этого:

98.248.117.137 - - [20 / июл / 2011: 07: 35: 03 +0000] "GET /index.php" ....

Не полный URL для совершенно разных сайтов. Что мне не хватает, извините, если это глупый вопрос.

Вот содержимое моего файла mods-available / proxy.conf, пока я не вижу в нем ничего плохого:

# включение ProxyRequests и разрешение прокси для всех может позволить # спамерам использовать ваш прокси для отправки электронной почты.

    ProxyRequests Off

    <Proxy *>
            AddDefaultCharset off
            Order deny,allow
            Deny from all
            #Allow from .example.com
    </Proxy>

    # Enable/disable the handling of HTTP/1.1 "Via:" headers.
    # ("Full" adds the server version; "Block" removes all outgoing Via: headers)
    # Set to one of: Off | On | Full | Block

    ProxyVia On

Я бы сказал, что IP-адрес, предоставленный вам вашим хостинг-провайдером, ранее использовался в качестве C&C или узла распространения для ботнета, и некоторые вредоносные программы не получали сообщения о том, что вы больше не несете эти вещи. К сожалению, вы ничего не можете с этим поделать, кроме как прослушивать своего провайдера и говорить, что вам нужны новые IP-адреса, потому что этот испорчен. Вы определенно не хотите оставлять IP-адрес, у которого есть история непослушания - есть вероятность, что он находится во всевозможных черных списках (SMTP и других), что отрицательно повлияет на вашу способность использовать сервер, и эти запросы пережевывают увеличьте объем трафика (который стоит денег).

Причина, по которой вы получаете 200 с для всех запросов, вероятно, связана с тем, что у вас есть директива конфигурации apache, которая переписывает все запросы к вашему index.php. Вот почему вы получаете его содержимое, когда нажимаете запрошенные URL-адреса.

Фактически у вас есть открытый прокси. Сообщите об этом своему хостинг-провайдеру и найдите лучший вариант.