Используется ли мой сервер в качестве прокси-сервера или выполняется DOS? Много трафика в моем журнале apache

Question

Используется ли мой сервер в качестве прокси-сервера или выполняется DOS? Много трафика в моем журнале apache

У меня есть кусок с хостинг-провайдером, который имеет базовую настройку стека лампы. Сегодня я проверял свои логи apache и получаю полный случайный (кажется) запрос на мой сервер apache. Например, вот две записи:

174.129.95.125 - - [20/Jul/2011:07:28:27 +0000] "GET http://www.czhlk.com/sony/cheng2/error.asp HTTP/1.1" 200 11322 "http://www.baidu.com" "Mozilla/4.0"
117.41.235.133 - - [20/Jul/2011:07:28:29 +0000] "GET http://113.105.144.166:8083/Payrank.php HTTP/1.1" 200 11315 "http://113.105.144.166:8083/Payrank.php" "Mozilla/4.0"

Сейчас у меня есть только несколько тестовых php-скриптов, поэтому я не ожидал большого трафика, но я получаю несколько запросов в секунду с записями, похожими на те, которые только что были опубликованы. Странно то, что если вы посмотрите на URL, запрошенный в журнале доступа, они не ссылаются на ресурсы на моем компьютере. Я установил chkrootkit и ничего не смог найти. Я также проверил файл паролей и другие области, чтобы узнать, не взломали ли они меня. Пока я ничего не нашел, но я не системный администратор или что-то еще, просто разработчик программного обеспечения. Кроме того, все http-коды в журнале "200", что странно для меня. Так как же так, что мой apache возвращает 200 для http-запросов, которые ничего не запрашивают на моем сервере? Я бы ожидал что-то вроде этого:

98.248.117.137 - - [20 / Jul / 2011: 07: 35: 03 +0000] "GET /index.php"....

Не полностью определенный URL для совершенно разных сайтов. Что мне не хватает, извините, если это глупый вопрос.

Вот содержимое моего файла mods-available / proxy.conf, пока я не вижу в этом ничего плохого:

#turning ProxyRequests on и разрешение прокси от всех может позволить #spammers использовать ваш прокси для отправки электронной почты.

    ProxyRequests Off

    <Proxy *>
            AddDefaultCharset off
            Order deny,allow
            Deny from all
            #Allow from .example.com
    </Proxy>

    # Enable/disable the handling of HTTP/1.1 "Via:" headers.
    # ("Full" adds the server version; "Block" removes all outgoing Via: headers)
    # Set to one of: Off | On | Full | Block

    ProxyVia On

2

apache-2.2 denial-of-service

Источник

Andreas Sandberg 20 июл '11 в 07:37

2 ответа

Решение

У вас действительно есть открытый прокси. Сообщите об этом своему хостинг-провайдеру и найдите лучшего.

-3

Источник

Ochoto 20 июл '11 в 07:46

Другие вопросы по тегам apache-2.2 denial-of-service

womble 20 июл '11 в 07:45 2011-07-20 07:45 · Accepted Answer · 2011-07-20 07:45

Я бы сказал, что IP-адрес, предоставленный вашим хостинг-провайдером, ранее использовался в качестве C&C или узла распространения для ботнета, и некоторые вредоносные программы не получили сообщения о том, что вы больше не несете эти вещи. К сожалению, вы ничего не можете с этим поделать, кроме как вызвать вашего провайдера и сказать, что вы хотите новые IP-адреса, потому что этот испорчен. Вы определенно не хотите хранить IP-адрес, имеющий историю с ненадежностью - есть вероятность, что он находится во всех видах черных списков (SMTP и т. Д.), Что отрицательно скажется на вашей способности использовать сервер, и эти запросы жуют до вашего разрешения на трафик (который стоит вам денег).

Причина, по которой вы получаете 200 с для всех запросов, возможно, в том, что у вас есть директива конфигурации Apache, которая переписывает все запросы в ваш index.php. Вот почему вы получаете его содержимое, когда нажимаете на запрашиваемые URL.