robot hammering apache2

Question

robot hammering apache2

#1 resposta do (3 votos)
#2 resposta do (3 votos)
#3 resposta do (2 votos)
#4 resposta do (0 votos)
#5 resposta do (0 votos)

4

Meu log do apache2 é bombardeado com linhas como:

108.5.114.118 - - [03/Aug/2012:15:23:28 +0200] "GET http://xchecker.net/tmp_proxy2012/http/engine.php HTTP/1.0" 404 1690 "http://xchecker.net/tmp_proxy2012/http/engine.php" "Mozilla/4.0 (compatible; MSIE 6.0; Windows 98; Win 9x 4.90)"

Estou perplexo com isso - por que uma solicitação para algum domínio xchecker.net estranho acaba no meu servidor?!

O pedido vem a cada poucas dezenas de segundos, deve ser um robô. Alguma idéia do que é isso?

Por exemplo, esse URL é válido - aparentemente ele contém uma página de teste ...

security apache-2.2

por user1571418 03.08.2012 / 15:46

5 respostas

Tags security apache-2.2

wireshark captura o tráfego de outros dispositivos na LAN Linux faltando espaço em disco

score 3 · Answer 1

Alguém está verificando se o seu servidor é um proxy aberto solicitando:
GET http://xchecker.net/tmp_proxy2012/http/engine.php HTTP/1.0

Parece que você não está executando um proxy aberto, pois ele respondeu com 404 .
Para mais informações, consulte: link
Especialmente a parte "Mas como posso ter certeza de que não estou permitindo o abuso de outros sites".

Não podemos dizer por que continua a tentar, mesmo depois de ficar claro que você não executa um proxy.
Talvez esse roteiro pessoal esteja quebrado.

score 3 · Answer 2

Eu também continuo sendo atingido por esse bot

Acabei de adicionar isso no meu .htaccess

RewriteEngine on
# Options +FollowSymlinks
RewriteCond %{HTTP_REFERER} xchecker\.net [NC]
RewriteRule .* - [F]

em meus registros de erros

[erro] [cliente 91.237.249.35] cliente negado pela configuração do servidor: /var/www/html/proxy2012/http/engine7.php, referer: link

até agora tudo bem.

Além disso, se os ataques estão chegando super rápido, você pode querer pensar em usar mod_evasive

Enviei um email para o unlinked.t-n-media.de, mas eles não responderam.

score 2 · Answer 3

xchecker.net tem o mesmo IP que unlinked.t-n-media.de . Então, ambos estão apontando para o mesmo servidor. Você sabe que está executando um proxy?

Se não, sugiro que você desligue e reconstrua seu servidor.

Verifique a origem, para a solicitação acima, foi 108.5.114.118 . Se eles continuarem a incomodar você, bloqueie-os com iptables . Se houver muitos IPs diferentes, você será atingido por um capô. Não há muito o que você pode fazer além de deixar as páginas offline.

A página existe para mim:

O DNS reverso também não é adicionado:

[bart@dev ~]$ dig xchecker.net

; <<>> DiG 9.7.3-P3-RedHat-9.7.3-8.P3.el6_2.3 <<>> xchecker.net
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15494
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;xchecker.net.          IN  A

;; ANSWER SECTION:
xchecker.net.       108 IN  A   193.28.228.90

;; Query time: 11 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Aug  3 18:14:36 2012
;; MSG SIZE  rcvd: 46

[bart@dev ~]$ dig -x 193.28.228.90

; <<>> DiG 9.7.3-P3-RedHat-9.7.3-8.P3.el6_2.3 <<>> -x 193.28.228.90
;; global options: +cmd
;; Got answer:
;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 515
;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0

;; QUESTION SECTION:
;90.228.28.193.in-addr.arpa.    IN  PTR

;; ANSWER SECTION:
90.228.28.193.in-addr.arpa. 2553 IN PTR unlinked.t-n-media.de.

;; Query time: 59 msec
;; SERVER: 8.8.8.8#53(8.8.8.8)
;; WHEN: Fri Aug  3 18:14:44 2012
;; MSG SIZE  rcvd: 79

Se o seu servidor não for 193.28.228.90 , alguém terá seu nome de domínio & '193.28.228.90' em seu hostfile, então ele resolveria para você. Se você vir muitos IPs diferentes, provavelmente é uma mudança que foi empurrada para muitos computadores infectados.

Meu palpite seria que o IP do seu servidor foi usado para alguns propósitos ruins no passado.

Se você não quiser parar os 404s, você pode colocar isso em cima da sua configuração vhost:

<VirtualHost _default_:*>
  RedirectMatch permanent ^/?(.*) http://myrealwebsite.com/
</VirtualHost>

Isso redirecionará todos os vhosts desconhecidos para o seu site principal.

score 0 · Answer 4

Eu me deparei com esse problema muitas vezes - sendo atingido por milhares de IPs exclusivos. Eles não parecem se importar que o meu servidor se recusou a proxy. Eles apenas continuaram batendo. Minha solução foi escrever um aplicativo curto que seguia o log de acesso e procurava por acessos que correspondessem ao padrão. ou seja, solicitações de conteúdo em outros domínios. Como eles foram analisados, eu os adicionei à lista suspensa do iptables.

Carregamento de recursos do servidor caiu DRAMAMENTE!

score 0 · Answer 5

Eu também vejo muitos desses pedidos em meus registros, procurando pelo endereço IP do servidor e pelo proxy no google. Eu cheguei a esta lista: link

Parece ser uma ferramenta com uma lista de todos os nossos servidores para ser usada como proxy.

Encontrei 3 dos endereços IP do meu servidor e não me pergunto por que recebi tantas solicitações, mesmo que elas tenham apenas erros.

Eu adicionei uma web vazia para os endereços IP, já que meus clientes usam apenas os nomes, que devem ajudar a sair da lista em breve, espero.