Sendo inundado por wpad.dat

12

Então, meu servidor apache estava lento e olhei nos arquivos de log. Acontece que eles cresceram para 12 GB de acessos de toneladas e toneladas de hosts diferentes tentando acessar o /wpad.dat em um dos meus Vhosts.

Agora, o host virtual em questão é o vhost "pega-tudo" que é invocado quando um navegador não fornece um nome de host conhecido.

Atualmente estou recebendo milhares de solicitações por minuto para "/wpad.dat" e, até onde o Google pode me dizer, isso é algo que tem algo a ver com servidores proxy? Mas eu não uso servidores proxy, então por que estou sendo literalmente bombardeado por essas solicitações?

Estou recebendo mais solicitações por minuto para esse arquivo inexistente do que recebendo solicitações normais. Então, minha suposição é que estou sob alguma forma de ataque. O engraçado é que geralmente só ocorre à noite (aqui na Suécia) e não durante o dia.

Um tamanho de amostra das últimas 500 solicitações (ou seja, meio minuto) mostra que ele consiste em 200 hosts diferentes, e uma pequena amostra deles mostra que são todos hosts válidos (não proxies TOR). sendo configurado incorretamente? Eu executo um servidor DNS na máquina.

Por favor me ajude! :)

EDITAR O host que eles estão acessando é "cluster.atlascms.se", então o que eles fazem é acessar link milhares de vezes por minuto.

Agora, cluster.atlascms.se é meu host de failover de DNS. Assim, todos os meus clientes apontam seus subdomínios para o cluster.atlascms.se, que por sua vez os aponta para o IP atual (servidor mestre do servidor de failover).

Como parece - isso significa que estou recebendo toneladas e toneladas de solicitações para cluster.arlascms.se - isso poderia significar que meu DNS está configurado incorretamente?

    
por Sandman 23.05.2013 / 22:59

5 respostas

9

Parece que a sua zona DNS eklundh.com tem um registro curinga definido apontando para cluster.atlascms.se. . Isso inclui wpad.eklundh.com . Eu sugiro que você adicione um registro DNS definindo explicitamente wpad.eklundh.com . para 127.0.0.1 ou algo assim.

    
por 23.05.2013 / 23:52
10

As máquinas procurarão um arquivo WPAD.dat hierarquicamente com base em seu próprio FQDN, se estiverem configuradas para a descoberta automática de proxy. Portanto, se um computador com Windows for membro de um domínio c.d.e.com, ele procurará WPAD.dat em:

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

Provavelmente, em algum lugar, alguém tem um domínio que é um subdomínio de um dos quais você está hospedando o HTTP e que não configurou ou desativou adequadamente a descoberta automática de proxy. Em consequência, eles provavelmente estão pesquisando hierarquicamente.

É possível que um vírus tenha causado isso; Provavelmente, se as máquinas que fazem a consulta forem extremamente numerosas e em diversas sub-redes, isso é o que está acontecendo.

Se possível, evite definir um registro DNS para o subdomínio wpad de qualquer coisa que você não pretenda usar para detecção automática de proxy.

Se isso não for uma opção, você pode considerar o uso da filtragem da camada 7 para localizar consultas para o wpad.dat e rejeitar os pacotes com uma mensagem ICMP. Essa pode ser a maneira mais eficaz de interromper o tráfego, a menos que os IPs sejam todos da mesma rede e o contato técnico deles com whois seja responsivo.

As coisas que apontam um host em um determinado local para wpad.dat incluem configurações de domínio, a opção de nome de domínio em respostas DHCP e uma configuração explícita no navegador da web para carregar informações de proxy de algum URL.

    
por 23.05.2013 / 23:53
4

A primeira coisa que gostaria de fazer é tentar descobrir para onde essas solicitações estão indo para , ou seja, o destino delas. O Apache não registra o nome do host por padrão, portanto, você pode usar tcpdump para obter uma captura breve e inspecioná-lo para o cabeçalho de solicitação Host: ou alterar seu formato de log do Apache para registrá-lo. Eu prefiro registrá-lo no segundo campo inútil, por exemplo:

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

Uma vez que você sabe a quem essas solicitações equivocadas estão sendo endereçadas, o que fazer em seguida pode ficar claro. Por exemplo, pode ser que haja uma grande empresa example.se , caso em que você pode encontrar seus administradores de rede e gritar com eles.

    
por 23.05.2013 / 23:18
0

Apenas FYI, ModSecurity vai pegar isso e bloqueá-lo. Existe um conjunto de regras fornecido pelo Comodo. Aqui está uma entrada de log. Eu retirei os dados relevantes da conta para que eles sejam usados apenas como exemplo.

Apache-Error: [file ""] [] [] [client xxx.xxx.xxx.xxx] ModSecurity: Access denied with code 403 (phase 2). Matched phrase ".dat/" at TX:extension. [file ""] ["] [id "210730"] [rev "2"] [msg "COMODO WAF: URL file extension is restricted by policy"] [data ".dat"] [severity "CRITICAL"] [hostname "removed"] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]

    
por 13.12.2017 / 21:19
-1

Este problema foi resolvido, criando um arquivo wpad.dat, colocando a página "esta página em branco".

A CPU foi quase zero. Problema parece resolvido.

    
por 12.11.2017 / 08:43