Então, meu servidor apache estava lento e olhei nos arquivos de log. Acontece que eles cresceram para 12 GB de acessos de toneladas e toneladas de hosts diferentes tentando acessar o /wpad.dat em um dos meus Vhosts.
Agora, o host virtual em questão é o vhost "pega-tudo" que é invocado quando um navegador não fornece um nome de host conhecido.
Atualmente estou recebendo milhares de solicitações por minuto para "/wpad.dat" e, até onde o Google pode me dizer, isso é algo que tem algo a ver com servidores proxy? Mas eu não uso servidores proxy, então por que estou sendo literalmente bombardeado por essas solicitações?
Estou recebendo mais solicitações por minuto para esse arquivo inexistente do que recebendo solicitações normais. Então, minha suposição é que estou sob alguma forma de ataque. O engraçado é que geralmente só ocorre à noite (aqui na Suécia) e não durante o dia.
Um tamanho de amostra das últimas 500 solicitações (ou seja, meio minuto) mostra que ele consiste em 200 hosts diferentes, e uma pequena amostra deles mostra que são todos hosts válidos (não proxies TOR). sendo configurado incorretamente? Eu executo um servidor DNS na máquina.
Por favor me ajude! :)
EDITAR O host que eles estão acessando é "cluster.atlascms.se", então o que eles fazem é acessar link milhares de vezes por minuto.
Agora, cluster.atlascms.se é meu host de failover de DNS. Assim, todos os meus clientes apontam seus subdomínios para o cluster.atlascms.se, que por sua vez os aponta para o IP atual (servidor mestre do servidor de failover).
Como parece - isso significa que estou recebendo toneladas e toneladas de solicitações para cluster.arlascms.se - isso poderia significar que meu DNS está configurado incorretamente?
As máquinas procurarão um arquivo WPAD.dat hierarquicamente com base em seu próprio FQDN, se estiverem configuradas para a descoberta automática de proxy. Portanto, se um computador com Windows for membro de um domínio c.d.e.com, ele procurará WPAD.dat em:
http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat
Provavelmente, em algum lugar, alguém tem um domínio que é um subdomínio de um dos quais você está hospedando o HTTP e que não configurou ou desativou adequadamente a descoberta automática de proxy. Em consequência, eles provavelmente estão pesquisando hierarquicamente.
É possível que um vírus tenha causado isso; Provavelmente, se as máquinas que fazem a consulta forem extremamente numerosas e em diversas sub-redes, isso é o que está acontecendo.
Se possível, evite definir um registro DNS para o subdomínio wpad de qualquer coisa que você não pretenda usar para detecção automática de proxy.
Se isso não for uma opção, você pode considerar o uso da filtragem da camada 7 para localizar consultas para o wpad.dat e rejeitar os pacotes com uma mensagem ICMP. Essa pode ser a maneira mais eficaz de interromper o tráfego, a menos que os IPs sejam todos da mesma rede e o contato técnico deles com whois seja responsivo.
As coisas que apontam um host em um determinado local para wpad.dat incluem configurações de domínio, a opção de nome de domínio em respostas DHCP e uma configuração explícita no navegador da web para carregar informações de proxy de algum URL.
A primeira coisa que gostaria de fazer é tentar descobrir para onde essas solicitações estão indo para , ou seja, o destino delas. O Apache não registra o nome do host por padrão, portanto, você pode usar tcpdump para obter uma captura breve e inspecioná-lo para o cabeçalho de solicitação Host: ou alterar seu formato de log do Apache para registrá-lo. Eu prefiro registrá-lo no segundo campo inútil, por exemplo:
LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined
Uma vez que você sabe a quem essas solicitações equivocadas estão sendo endereçadas, o que fazer em seguida pode ficar claro. Por exemplo, pode ser que haja uma grande empresa example.se , caso em que você pode encontrar seus administradores de rede e gritar com eles.
Apenas FYI, ModSecurity vai pegar isso e bloqueá-lo. Existe um conjunto de regras fornecido pelo Comodo. Aqui está uma entrada de log. Eu retirei os dados relevantes da conta para que eles sejam usados apenas como exemplo.
Apache-Error: [file ""] [] [] [client xxx.xxx.xxx.xxx] ModSecurity: Access denied with code 403 (phase 2). Matched phrase ".dat/" at TX:extension. [file ""] ["] [id "210730"] [rev "2"] [msg "COMODO WAF: URL file extension is restricted by policy"] [data ".dat"] [severity "CRITICAL"] [hostname "removed"] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]
Este problema foi resolvido, criando um arquivo wpad.dat, colocando a página "esta página em branco".
A CPU foi quase zero. Problema parece resolvido.