У меня есть раздел с хостинг-провайдером, у которого есть базовая настройка стека ламп. Сегодня я проверял свои журналы apache, и я получаю случайный (кажется) запрос на мой сервер apache. Например, вот две записи:
174.129.95.125 - - [20/Jul/2011:07:28:27 +0000] "GET http://www.czhlk.com/sony/cheng2/error.asp HTTP/1.1" 200 11322 "http://www.baidu.com" "Mozilla/4.0"
117.41.235.133 - - [20/Jul/2011:07:28:29 +0000] "GET http://113.105.144.166:8083/Payrank.php HTTP/1.1" 200 11315 "http://113.105.144.166:8083/Payrank.php" "Mozilla/4.0"
Прямо сейчас у меня есть только несколько тестовых скриптов php, поэтому я не ожидал большого трафика, но я получаю несколько запросов в секунду с записями, похожими на только что опубликованные. Странно то, что если вы посмотрите на URL-адрес, запрошенный в журнале доступа, они не ссылаются на ресурсы на моей машине. Я установил chkrootkit и ничего не нашел. Я также проверил файл паролей и другие области, чтобы узнать, не взломал ли меня кто-нибудь. Пока я ничего не нашел, но я не системный администратор или что-то в этом роде, а просто разработчик программного обеспечения. Кроме того, все http-коды в журнале - 200, что для меня странно. Так как же мой apache возвращает 200 для HTTP-запросов, которые ничего не запрашивают на моем сервере? Я ожидал чего-то вроде этого:
98.248.117.137 - - [20 / июл / 2011: 07: 35: 03 +0000] "GET /index.php" ....
Не полный URL для совершенно разных сайтов. Что мне не хватает, извините, если это глупый вопрос.
Вот содержимое моего файла mods-available / proxy.conf, пока я не вижу в нем ничего плохого:
# включение ProxyRequests и разрешение прокси для всех может позволить # спамерам использовать ваш прокси для отправки электронной почты.
ProxyRequests Off
<Proxy *>
AddDefaultCharset off
Order deny,allow
Deny from all
#Allow from .example.com
</Proxy>
# Enable/disable the handling of HTTP/1.1 "Via:" headers.
# ("Full" adds the server version; "Block" removes all outgoing Via: headers)
# Set to one of: Off | On | Full | Block
ProxyVia On
Я бы сказал, что IP-адрес, предоставленный вам вашим хостинг-провайдером, ранее использовался в качестве C&C или узла распространения для ботнета, и некоторые вредоносные программы не получали сообщения о том, что вы больше не несете эти вещи. К сожалению, вы ничего не можете с этим поделать, кроме как прослушивать своего провайдера и говорить, что вам нужны новые IP-адреса, потому что этот испорчен. Вы определенно не хотите оставлять IP-адрес, у которого есть история непослушания - есть вероятность, что он находится во всевозможных черных списках (SMTP и других), что отрицательно повлияет на вашу способность использовать сервер, и эти запросы пережевывают увеличьте объем трафика (который стоит денег).
Причина, по которой вы получаете 200 с для всех запросов, вероятно, связана с тем, что у вас есть директива конфигурации apache, которая переписывает все запросы к вашему index.php. Вот почему вы получаете его содержимое, когда нажимаете запрошенные URL-адреса.
Фактически у вас есть открытый прокси. Сообщите об этом своему хостинг-провайдеру и найдите лучший вариант.