mod_rewrite e access.log

2

Meu site recentemente sofreu um ataque do DOS, que parece ter sido corrigido principalmente pela instalação do mod-evasive (o que é bom)

Eu queria encontrar o IP que foi usado para o ataque, então naturalmente eu fui ao access.log apenas para encontrar centenas de linhas:

127.0.0.1 - - [08/Oct/2011:22:08:33 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.9 (Debian) PHP/5.3.8-1~dotdeb.1 with Suhosin-Patch (internal dummy connection)"
127.0.0.1 - - [08/Oct/2011:22:09:22 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.9 (Debian) PHP/5.3.8-1~dotdeb.1 with Suhosin-Patch (internal dummy connection)"
127.0.0.1 - - [08/Oct/2011:22:09:23 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.9 (Debian) PHP/5.3.8-1~dotdeb.1 with Suhosin-Patch (internal dummy connection)"
127.0.0.1 - - [08/Oct/2011:22:09:24 +0200] "OPTIONS * HTTP/1.0" 200 - "-" "Apache/2.2.9 (Debian) PHP/5.3.8-1~dotdeb.1 with Suhosin-Patch (internal dummy connection)" 

Tenho certeza de que isso acontece porque estou usando o mod_rewrite; em resumo, gostaria que o apache registrasse a solicitação de pré-redirecionamento em vez da solicitação redirecionada internamente - alguém sabe se isso é possível?

    
por Mikey 08.10.2011 / 22:25

4 respostas

2

Estas são solicitações internas do processo pai do apache para manter os processos-filhos ativos e para gerar novos processos-filhos quando a carga determina que novos filhos são necessários.

Dependendo do tipo de ataque de negação de serviço, você não terá muita sorte em obter o IP do log de acesso. O log de acesso registra somente solicitações - muitos ataques DoS não enviam solicitações HTTP. Alguns fazem.

Você provavelmente pode obter o que deseja do RewriteLog, mas isso normalmente não é algo que seria incluído no log de acesso. O log de acesso representa o registro de solicitações depois que o processamento é concluído (bem-sucedido ou não). Você pode obter os dados que está procurando em mod_log_forensic , mas Não sei se as pessoas recomendariam usar este módulo para o registro diário de solicitações.

    
por 09.10.2011 / 17:25
2

My site recently came under a DOS attack

Como você determinou que seu servidor está sob ataque?

(internal dummy connection)

I'm pretty sure this is because I'm using mod_rewrite,

Não, essas são solicitações que o Apache envia a si mesmo para ativar processos que estão atendendo a novas conexões. Dê uma olhada em this se você quiser ignorá-los.

I wanted to find the IP which was used for the attack

Você também pode usar netstat para contar as conexões para a porta 80, algo assim:

netstat -n | grep :80 | awk '{ print $5 }' | cut -d: -f1 | sort | uniq -c | sort -rn | head
    
por 11.10.2011 / 01:21
1

Essas conexões não têm relação alguma com o mod_rewrite, e você não deve se preocupar com isso.

link

    
por 17.10.2011 / 14:22
0

Eu recomendaria estudar seu registro de acesso novamente se você quiser encontrar um invasor. Alguns analisadores de logs podem economizar muito tempo para você. Eu uso o visualizador ddosViewer para verificar através dos logs, embora existam muitos desses programas na web. Eu sei que este site é em russo, mas é tão bom e simples de usar que não pude deixar de recomendá-lo para o seu problema.

    
por 17.10.2011 / 17:54