Muitas solicitações para o mesmo URL no novo endereço IP

Navegue suas respostas
1

Acabei de receber um novo VPS com dois IPs. Estou recebendo uma tonelada de solicitações de vários IPs de clientes diferentes para um único caminho em um dos IPs, quase um por segundo. O caminho é "/lzb/gz.php". Alguma ideia do que é isso? E eu deveria estar preocupado? Devo solicitar um novo IP do meu provedor de VPS ou apenas esperar que o volume diminua com o tempo?

FYI Estou executando o nginx como um proxy reverso para o apache2. O VPS veio com o apache2 em execução, e as solicitações para "/lzb/gz.php" começaram imediatamente após a compra, de acordo com os logs do apache2. Quando liguei o nginx, os pedidos começaram a aparecer nos logs do nginx. Tenho certeza de que as solicitações estão confinadas a um dos dois IPs porque tenho acesso exclusivo e logs de erro configurados para um vhost que eu experimentei em ambos os IPs, e as solicitações só aparecem nesses logs quando o vhost escuta no endereço IP em questão. Tanto o apache2 quanto o nginx retornam o 404, mas ainda estou preocupado com o volume de solicitações para o mesmo caminho e com possíveis implicações de segurança.

    
por user101570 19.04.2012 / 22:26

2 respostas

1

/lzb/gz.php não aparece como algo nefasto. Parece ser um arquivo no pacote de firewall xwall, então talvez o antigo proprietário desse IP estivesse executando esse aplicativo.

Você tem três opções que eu vejo:

  1. Você pode solicitar um novo IP do seu provedor, se esse comportamento incomodar, mas uma solicitação por segundo não é um volume problemático.
  2. Elimine o tráfego com o firewall do seu servidor. Esta é, penso eu, a opção mais rápida e eficaz, a menos que a largura de banda usada pelas conexões de entrada erradas comece a consumir sua permissão.
  3. O que eu acho que seria a melhor solução a longo prazo é rastrear o IP de origem endereço (s) e ver se há algum operador de rede que você pode fale sobre os pedidos. Talvez seja apenas alguns outros sistemas que antigamente dependia dos serviços fornecidos em seu endereço IP. Em Nesse caso, você tem um tiro decente em rastrear as coisas de volta para o criadores.
  4. Ok, eu menti, há uma quarta possibilidade, mas não é muito boa. Você poderia tarpit as solicitações recebidas usando limitação de taxa de iptables e talvez jogar fora os sistemas que enviam o tráfego. Claro, se você estiver usando outro sistema operacional, pesquise os recursos de limitação de taxa de seu firewall. Se a comunicação do sistema remetente ao seu endereço IP não for respondida imediatamente, ou se você enviar respostas alternativas para trás, você pode encerrar o tempo que estiver causando a comunicação e causar consternação suficiente nos logs do sistema de envio para notificar um ser humano. É uma foto de fora e não é a melhor opção de longe.
por 19.04.2012 / 22:35
0

As solicitações provavelmente são feitas de um cliente quebrado. Você provavelmente não precisa se preocupar, e pode usar as dicas do @WesleyDavid para remover esse aborrecimento.

The VPS came with apache2 running, and the requests for "/lzb/gz.php" started immediately after purchase according to the apache2 logs.

As solicitações provavelmente aparecem após a compra porque o fornecedor alocou os IPs para você e configurou o firewall para permitir o acesso a esses IPs.

Alguém provavelmente possuía esses IPs antes de você, e as solicitações /lzb/gz.php provavelmente se destinam ao site que existia antes do seu. Estou chegando aqui, mas observe que lzb e gz são ambos atalhos comuns para dois métodos de compactação, portanto, é possível que o proprietário anterior tenha exibido conteúdo compactado. Googling mostra que gz.php não é um nome incomum para um arquivo e às vezes é usado para compactar dados rapidamente usando PHP.

Um google para o site: your.ip.address / lzw / gz.php pode revelar quem foi o proprietário anterior e lançar alguma luz sobre o assunto.

    
por 19.04.2012 / 22:49

Tags

VirtualBox: Centos 6 - Não consigo mais encontrar uma opção para reverter meus instantâneos? Erro de GPG do Msysgit durante a assinatura de confirmação