Mac Server Access.log preocupações, possivelmente hackeado? (newb desculpe)

4

isto é o que meu web access.log parece (bem, um pequeno trecho)

46.4.33.46 - - [20/Jul/2011:11:56:18 +0100] "GET http://allegro.pl/matematyka-wokol-nas-6-zeszyt-cwiczen-czesc-1-2-i1727657348.html HTTP/1.0" 200 31161
78.159.125.176 - - [20/Jul/2011:11:56:17 +0100] "GET http://gotgirlspeeing.com/ HTTP/1.1" 200 110698
78.159.125.176 - - [20/Jul/2011:11:56:20 +0100] "GET http://gotgirlspeeing.com/js/search.js HTTP/1.1" 200 2842
184.173.219.98 - - [20/Jul/2011:11:56:59 +0100] "GET http://ads.lzjl.com/newServing/getkey.php?cb=getkey&ob=Yesup.infinityads.Code[0]&nid=5&pid=17587&sid=28749&spid=0&ns=0&nw=1&zone=0&url=http://www.mypaydayloan.com/&oe=ISO-8859-1&t3642160 HTTP/1.0" 200 762
208.115.238.200 - - [20/Jul/2011:11:59:45 +0100] "GET http://ad.xtendmedia.com/st?ad_type=iframe&ad_size=728x90&section=1697345 HTTP/1.0" 200 4580
1.197.203.145 - - [20/Jul/2011:11:59:45 +0100] "GET http://www.hardjob.net/proxyheader.php HTTP/1.0" 200 723
122.228.236.202 - - [20/Jul/2011:11:59:45 +0100] "GET http://ad.reduxmedia.com/st?ad_type=iframe&ad_size=728x90&section=755027 HTTP/1.0" 200 4574
59.45.185.14 - - [20/Jul/2011:11:59:45 +0100] "GET http://ads.clicksor.com/showAd.php?nid=1&pid=174828&adtype=&sid=270818 HTTP/1.0" 200 1489
221.215.112.238 - - [20/Jul/2011:11:59:45 +0100] "GET http://media.fastclick.net/w/get.media?sid=60107&tp=5&d=j&t=n HTTP/1.0" 302 280

Meu access.log inteiro está cheio de linhas como as acima. Alguns incluindo links ebay, alguns para ofertas de carro, alguns para pornografia. Eu realmente estou perdido em tudo isso, talvez alguém possa oferecer algum conselho?

Como nossos registros começaram a ficar assim, o servidor realmente ficou mais lento quando se trata de veicular páginas. Na maioria das vezes, o tempo limite das solicitações é excedido.

Eu estou supondo que essas coisas estão relacionadas?

Muito obrigado,

Elliott

    
por Elliott Malone 20.07.2011 / 13:03

2 respostas

3

Quando você vê uma solicitação que é para um URL remoto, você está vendo alguém procurando um proxy - testando para ver se eles podem direcionar o tráfego através de sua máquina - ou usando um que esteja desbloqueado.

Parece que, a partir dos códigos de status de 200 + 302, sua máquina está configurada com o mod_proxy do Apache, o que significa que as pessoas estão retornando o tráfego.

Se você não estiver usando deliberadamente o mod_proxy, desative-o. Se você estiver usando para algum propósito, você deve reforçar a segurança.

    
por 20.07.2011 / 13:11
0

Além da resposta de Steves, você pode verificar Meu servidor está sendo usado como proxy ou está em andamento no DOS? Muito tráfego no meu log do apache - como apontado, seu IP pode ter sido usado anteriormente por uma botnet.

    
por 20.07.2011 / 13:21