Apache затоплен?

Question

Apache затоплен?

У меня есть Linux-сервер Apache, который работал нормально несколько дней назад. В журнале доступа есть такие строки, и файл журнала увеличивается на много строк каждую секунду. Первоначально я подозревал, что сервер был атакован и остановил сервер. но после нескольких дней, когда я запускаю сервер, происходит похожий журнал. Мне интересно, кто-нибудь знает, что происходит? это вызвано вирусом?

23.19.76.217 - - [17/Oct/2012:10:21:47 -0400] "GET http://ad.globe7.com/st?ad_type=iframe&ad_size=728x90&section=3633732&pub_url=${PUB_URL} HTTP/1.0" 200 4497
142.54.177.114 - - [17/Oct/2012:10:21:47 -0400] "GET http://ad.globe7.com/imp?Z=300x250&s=3582878&T=3&_salt=3106601030&B=12&m=2&u=http%3A%2F%2Fwww.homesearchcar.com%2F%3Fp%3D184&r=1 HTTP/1.0" 302 -

0

apache-2.2 httpd ddos denial-of-service flooding

Источник

Daniel 17 окт '12 в 14:41

4 ответа

Решение

Попробуйте поставить это на свой.htaccess

# -Предотвращение доступа к прокси
#
Переписать Engine на
RewriteCond %{HTTP:VIA}!^$ [ИЛИ]
RewriteCond %{HTTP:FORWARDED}!^$ [ИЛИ]
RewriteCond %{HTTP:USERAGENT_VIA}!^$ [ИЛИ]
RewriteCond %{HTTP:X_FORWARDED_FOR}!^$ [ИЛИ]
RewriteCond %{HTTP:PROXY_CONNECTION}!^$ [ИЛИ]
RewriteCond %{HTTP:XPROXY_CONNECTION}!^$ [ИЛИ]
RewriteCond %{HTTP:HTTP_PC_REMOTE_ADDR}!^$ [ИЛИ]
RewriteCond %{HTTP:HTTP_CLIENT_IP}!^$
RewriteRule .* - [F]
#

и вы заметите от 2-й до последней строки в журнале.

... 732 & pub_url = $ {PUB_URL} HTTP / 1.0 "200 4497

становится

...732&pub_url=${PUB_URL} HTTP/1.0" 404 4497

1

Источник

jrsalunga 28 июн '13 в 05:44

Я только что столкнулся с той же проблемой, и мой сервер определенно не работал с открытым прокси-сервером - все запросы поступали на сайт по умолчанию, и это подавляло сервер базы данных. Похоже на плохо написанный ботнет с мошенническим кликом - он пытается использовать открытые прокси, но не проверяет, успешен он или нет. Я видел запросы с ~1500 IP-адресов, поэтому блокировать их нецелесообразно.

Добавление этого в качестве первого (и, следовательно, по умолчанию) виртуального хоста работало для меня

<VirtualHost *:80>
  ServerName default.only
  <Location />
    Order allow,deny
    Deny from all
  </Location>
</VirtualHost>

(с http://wiki.apache.org/httpd/ProxyAbuse)

Вариант, по которому меня поразили, также запрашивал страницы на этих рекламных серверах:

ad.adorika.com/
ad.adserverplus.com/
ads1.ministerial5.com/
ads.clovenetwork.com/
ads.creafi-online-media.com/
ad.tagjunction.com/
ax-d.pixfuture.net/
ib.adnxs.com/
www.mmadsgadget.com/

1

Источник

lawnjam 28 янв '13 в 12:39

Это не похоже на вирус, но на самом деле нам сложно сказать вам много, поскольку мы не знаем, как выглядит "нормальный" трафик... но в любом случае, если вы считаете, что это плохой трафик, вам следует заблокировать его с помощью встроенного механизма Apache или всегда есть брандмауэр)

взгляните на сценарий, который вызывается

http://ad.globe7.com/st
document.write("<span>Smart Tag Error: Malformed URL - ST_NO_AD_TYPE_GIVEN </span>");

http://ad.yieldmanager.com/imp?
// Invalid tag - code 1, Invalid size, entity=0

это нормальное поведение? это даже твое?

-1

Источник

alexus 17 окт '12 в 14:46

Другие вопросы по тегам apache-2.2 httpd ddos denial-of-service flooding

Michael Hampton 17 окт '12 в 14:46 2012-10-17 14:46 · Accepted Answer · 2012-10-17 14:46

Похоже, вы случайно настроили открытый прокси-сервер, и Интернет узнал об этом.

Таким образом, все и их мать теперь используют ваш сервер для прокси своих веб-соединений и скрывают, что они делают. В этом конкретном случае ваш сервер используется для злоупотребления рекламной сетью. Вы будете обвинены в этом.

Завершите работу сервера как можно скорее и настройте его так, чтобы запретить доступ к прокси-серверу, или разрешите его только там, где это абсолютно необходимо.