Быть залитым wpad.dat
Итак, мой сервер apache работал медленно, и я посмотрел в файлах журнала. Оказалось, что они выросли до 12 ГБ обращений от множества разных хостов, пытающихся получить доступ к /wpad.dat на одном из моих Vhosts.
Теперь рассматриваемый виртуальный хост - это "всеобъемлющий" vhost, который вызывается, когда браузер не предоставляет известное имя хоста.
В настоящее время я получаю тысячи запросов в минуту к /wpad.dat, и, насколько мне может сказать Google, это как-то связано с прокси-серверами? Но я не использую прокси-серверы, так почему я буквально засыпан этими запросами.
Я получаю больше запросов в минуту для этого несуществующего файла, чем я получаю обычные запросы. Поэтому я предполагаю, что я нахожусь в какой-то форме нападения. Самое смешное, что это обычно происходит только ночью (здесь, в Швеции), а не днем.
Размер выборки из последних 500 запросов (т.е. полминуты) показывает, что он состоит из 200 различных хостов, и небольшая выборка из них показывает, что все они являются действительными хостами (не прокси TOR), поэтому некоторые DNS-серверы неправильно настроены? Я действительно запускаю DNS-сервер на машине.
Пожалуйста помоги!:)
РЕДАКТИРОВАТЬ Хост, к которому они обращаются, это "cluster.atlascms.se", поэтому они обращаются к http://cluster.atlascms.se/wpad.dat тысячи раз в минуту.
Теперь cluster.atlascms.se - мой отказоустойчивый хост DNS. Таким образом, все мои клиенты указывают свои поддомены на cluster.atlascms.se, который, в свою очередь, указывает их на текущий IP (главный сервер аварийного сервера).
Как кажется - это означает, что я получаю тонны и тонны запросов к cluster.arlascms.se - может ли это означать, что мой DNS настроен неправильно?
5 ответов
Похоже, что ваша DNS-зона eklundh.com имеет подстановочный знак, указывающий на cluster.atlascms.se. Это включает wpad.eklundh.com, Я предлагаю вам добавить запись DNS, явно определяющую wpad.eklundh.com, в 127.0.0.1 или что-то.
Машины будут искать файл WPAD.dat в иерархическом порядке на основе своего собственного полного доменного имени, если они настроены для автоматического обнаружения прокси. Итак, если компьютер с Windows является членом домена cdecom, он будет искать WPAD.dat в:
http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat
Скорее всего, где-то у кого-то есть домен, который является поддоменом одного из тех, на которых вы размещаете HTTP, и который не настроен должным образом или не отключил автоматическое обнаружение прокси. В результате они, вероятно, ищут в иерархическом порядке.
Возможно, вирус заставил их сделать это; Скорее всего, если машины, выполняющие запрос, чрезвычайно многочисленны и находятся в разных подсетях, дело обстоит именно так.
Если возможно, избегайте определения записи DNS для субдомена wpad для всего, что вы не собираетесь использовать для автоматического обнаружения прокси.
Если это не вариант, вы можете рассмотреть возможность использования фильтрации уровня 7 для поиска запросов для wpad.dat и отклонения пакетов с сообщением ICMP. На самом деле это может быть наиболее эффективным способом остановки трафика, если только IP-адреса не принадлежат одной сети и их технический контакт в whois не отвечает.
Вещи, которые будут указывать хост в определенном месте для wpad.dat, включают в себя настройки домена, опцию доменного имени в ответах DHCP и явную настройку в веб-браузере для загрузки информации прокси-сервера из некоторого URL-адреса.
Первое, что я хотел бы сделать, это попытаться выяснить, куда направляются эти запросы, то есть их назначение. Apache не регистрирует имя хоста по умолчанию, поэтому вы можете использовать tcpdump чтобы получить краткий захват и осмотреть его на предмет Host: Заголовок запроса, или измените свой формат журнала Apache, чтобы зарегистрировать его. Я предпочитаю регистрировать его в другом бесполезном втором поле, например:
LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined
Как только вы узнаете, кому адресованы эти ошибочные запросы, станет ясно, что делать дальше. Например, это может оказаться какая-то большая компания example.se в этом случае вы можете найти их сетевых администраторов и кричать на них.
Просто к вашему сведению, ModSecurity поймает это и заблокирует это. Comodo предоставляет набор правил. Вот запись в журнале. Я удалил данные, относящиеся к аккаунту, чтобы они были в них только для того, чтобы использовать их в качестве примера.
Ошибка Apache: [файл ""] [] [] [клиент xxx.xxx.xxx.xxx] ModSecurity: доступ запрещен с кодом 403 (этап 2). Соответствующая фраза ".dat/" в TX: расширение. [file ""] ["] [id "210730"] [rev "2"] [msg "COMODO WAF: расширение файла URL ограничено политикой "] [data".dat "] [серьезность"CRITICAL"] [имя хоста "удален"] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]
Решил проблему и решил ее, создав файл wpad.dat, добавив в него страницу "Эта страница оставлена пустой".
Процессор ушел почти в ноль. Проблема кажется решенной.