mod_rewrite e access.log

Question

mod_rewrite e access.log

#1 resposta do (2 votos)
#2 resposta do (2 votos)
#3 resposta do (1 votos)
#4 resposta do (0 votos)

2

Meu site recentemente sofreu um ataque do DOS, que parece ter sido corrigido principalmente pela instalação do mod-evasive (o que é bom)

Eu queria encontrar o IP que foi usado para o ataque, então naturalmente eu fui ao access.log apenas para encontrar centenas de linhas:

127.0.0.1 - - [08/Oct/2011:22:08:33 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.9 (Debian) PHP/5.3.8-1~dotdeb.1 with Suhosin-Patch (internal dummy connection)"
127.0.0.1 - - [08/Oct/2011:22:09:22 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.9 (Debian) PHP/5.3.8-1~dotdeb.1 with Suhosin-Patch (internal dummy connection)"
127.0.0.1 - - [08/Oct/2011:22:09:23 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.9 (Debian) PHP/5.3.8-1~dotdeb.1 with Suhosin-Patch (internal dummy connection)"
127.0.0.1 - - [08/Oct/2011:22:09:24 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.9 (Debian) PHP/5.3.8-1~dotdeb.1 with Suhosin-Patch (internal dummy connection)"

Tenho certeza de que isso acontece porque estou usando o mod_rewrite; em resumo, gostaria que o apache registrasse a solicitação de pré-redirecionamento em vez da solicitação redirecionada internamente - alguém sabe se isso é possível?

mod-rewrite ddos

por Mikey 08.10.2011 / 22:25

4 respostas

Tags mod-rewrite ddos

Plesk: libmysqlclient_16 não definido no arquivo libmysqlclient_r.so.16 Certificado SSL antigo em cache no IE

score 2 · Answer 1

Estas são solicitações internas do processo pai do apache para manter os processos-filhos ativos e para gerar novos processos-filhos quando a carga determina que novos filhos são necessários.

Dependendo do tipo de ataque de negação de serviço, você não terá muita sorte em obter o IP do log de acesso. O log de acesso registra somente solicitações - muitos ataques DoS não enviam solicitações HTTP. Alguns fazem.

Você provavelmente pode obter o que deseja do RewriteLog, mas isso normalmente não é algo que seria incluído no log de acesso. O log de acesso representa o registro de solicitações depois que o processamento é concluído (bem-sucedido ou não). Você pode obter os dados que está procurando em mod_log_forensic , mas Não sei se as pessoas recomendariam usar este módulo para o registro diário de solicitações.

score 2 · Answer 2

My site recently came under a DOS attack

Como você determinou que seu servidor está sob ataque?

(internal dummy connection)

I'm pretty sure this is because I'm using mod_rewrite,

Não, essas são solicitações que o Apache envia a si mesmo para ativar processos que estão atendendo a novas conexões. Dê uma olhada em this se você quiser ignorá-los.

I wanted to find the IP which was used for the attack

Você também pode usar netstat para contar as conexões para a porta 80, algo assim:

netstat -n | grep :80 | awk '{ print $5 }' | cut -d: -f1 | sort | uniq -c | sort -rn | head

score 1 · Answer 3

Essas conexões não têm relação alguma com o mod_rewrite, e você não deve se preocupar com isso.

link

score 0 · Answer 4

Eu recomendaria estudar seu registro de acesso novamente se você quiser encontrar um invasor. Alguns analisadores de logs podem economizar muito tempo para você. Eu uso o visualizador ddosViewer para verificar através dos logs, embora existam muitos desses programas na web. Eu sei que este site é em russo, mas é tão bom e simples de usar que não pude deixar de recomendá-lo para o seu problema.