Meu servidor está sendo usado como proxy ou está em andamento no DOS? Muito tráfego no meu log do apache

2

Eu tenho uma fatia com um provedor de hospedagem que possui uma configuração básica de pilha de lâmpadas. Eu estava verificando meus logs apache hoje e estou recebendo total aleatório (parece) pedido ao meu servidor apache. Por exemplo, aqui estão duas entradas:

174.129.95.125 - - [20/Jul/2011:07:28:27 +0000] "GET http://www.czhlk.com/sony/cheng2/error.asp HTTP/1.1" 200 11322 "http://www.baidu.com" "Mozilla/4.0"
117.41.235.133 - - [20/Jul/2011:07:28:29 +0000] "GET http://113.105.144.166:8083/Payrank.php HTTP/1.1" 200 11315 "http://113.105.144.166:8083/Payrank.php" "Mozilla/4.0"

Neste momento, eu só tenho alguns scripts php de teste, então eu não esperava muito tráfego, mas estou recebendo vários pedidos por segundo com entradas semelhantes às postadas. O estranho é que, se você olhar o URL solicitado no log de acesso, eles não estão fazendo referência a recursos em minha máquina. Eu instalei o chkrootkit e não consegui encontrar nada. Eu também verifiquei o arquivo de senhas e outras áreas para ver se alguém pode ter me hackeado. Até agora eu não encontrei nada, mas eu não sou um administrador de sistema ou qualquer coisa, apenas um desenvolvedor de software. Além disso, todos os códigos http no log são '200', o que é estranho para mim. Então, como é que o meu apache está retornando 200 para solicitações http que não estão solicitando nada no meu servidor? Eu esperaria algo assim:

98.248.117.137 - - [20/Jul/2011:07:35:03 +0000] "GET /index.php" ....

Não é uma URL totalmente qualificada para sites completamente diferentes. O que estou perdendo, desculpe se é uma pergunta estúpida.

Aqui está o conteúdo do meu arquivo mods-available / proxy.conf, não vejo nada de errado com ele até agora:

        #turning ProxyRequests on e permitindo o proxy de todos pode permitir         #spammers para usar seu proxy para enviar e-mails.

    ProxyRequests Off

    <Proxy *>
            AddDefaultCharset off
            Order deny,allow
            Deny from all
            #Allow from .example.com
    </Proxy>

    # Enable/disable the handling of HTTP/1.1 "Via:" headers.
    # ("Full" adds the server version; "Block" removes all outgoing Via: headers)
    # Set to one of: Off | On | Full | Block

    ProxyVia On

    
por Andreas Sandberg 20.07.2011 / 09:37

2 respostas

6

Eu diria que o endereço IP que seu provedor de hospedagem deu a você anteriormente era usado como um C & C ou nó de distribuição para uma botnet, e alguns malwares não receberam a mensagem de que você não está mais carregando essas coisas. Infelizmente, não há muito o que fazer sobre isso, além de incomodar o seu provedor e dizer que você quer novos IPs porque esse é um deles corrompido. Você definitivamente não quer manter um IP que tenha um histórico de mal-humorado - é provável que esteja em todos os tipos de listas negras (SMTP e outras) que terão um efeito adverso na sua capacidade de usar o servidor, e essas solicitações estão mastigando o seu subsídio de tráfego (que está lhe custando dinheiro).

O motivo pelo qual você está recebendo 200s para todas as solicitações é provavelmente porque você tem uma diretiva de configuração do apache que está reescrevendo todas as solicitações para o seu index.php. É por isso que você obtém o conteúdo dele quando acessa as URLs solicitadas.

    
por 20.07.2011 / 09:45
-4

Você tem efetivamente um proxy aberto. Denuncie ao seu provedor de hospedagem e procure por um melhor.

    
por 20.07.2011 / 09:46