And*_*erg 2 denial-of-service apache-2.2
我有一个托管服务提供商的切片,该提供商具有基本的灯组设置。我今天正在检查我的 apache 日志,我收到了对我的 apache 服务器的完全随机(似乎)请求。例如,这里有两个条目:
174.129.95.125 - - [20/Jul/2011:07:28:27 +0000] "GET http://www.czhlk.com/sony/cheng2/error.asp HTTP/1.1" 200 11322 "http://www.baidu.com" "Mozilla/4.0"
117.41.235.133 - - [20/Jul/2011:07:28:29 +0000] "GET http://113.105.144.166:8083/Payrank.php HTTP/1.1" 200 11315 "http://113.105.144.166:8083/Payrank.php" "Mozilla/4.0"
现在我只有一些测试 php 脚本,所以我没想到会有很多流量,但是我每秒收到几个请求,其中的条目类似于刚刚发布的条目。奇怪的是,如果您查看访问日志中请求的 url,它们并没有引用我机器上的资源。我已经安装了 chkrootkit 并且找不到任何东西。我还检查了密码文件和其他区域,看看是否有人黑了我。到目前为止我还没有找到任何东西,但我不是系统管理员或任何东西,只是一个软件开发人员。此外,日志中的所有 http 代码都是“200”,这对我来说很奇怪。那么我的 apache 是如何为没有在我的服务器上请求任何内容的 http 请求返回 200 的呢?我希望是这样的:
98.248.117.137 - - [20/Jul/2011:07:35:03 +0000] "GET /index.php" ....
对于完全不同的网站,不是完全合格的 url。我错过了什么,对不起,如果这是一个愚蠢的问题。
这是我的 mods-available/proxy.conf 文件的内容,到目前为止我没有发现任何问题:
#turning ProxyRequests 并允许所有代理可能允许#spammers 使用您的代理发送电子邮件。
ProxyRequests Off
<Proxy *>
AddDefaultCharset off
Order deny,allow
Deny from all
#Allow from .example.com
</Proxy>
# Enable/disable the handling of HTTP/1.1 "Via:" headers.
# ("Full" adds the server version; "Block" removes all outgoing Via: headers)
# Set to one of: Off | On | Full | Block
ProxyVia On
我想说的是,您的托管服务提供商提供给您的 IP 地址以前被用作僵尸网络的 C&C 或分发节点,并且某些恶意软件没有收到您不再携带这些东西的消息。不幸的是,除了窃听您的提供商并说您想要新 IP 因为这个 IP 已被污染之外,您对此无能为力。你绝对不想保留一个有顽皮历史的 IP——它很可能在各种黑名单(SMTP 和其他)中,这会对你使用服务器的能力产生不利影响,而这些请求正在咀嚼增加您的交通津贴(这会花费您的钱)。
您为所有请求获得 200 秒的原因可能是因为您有一个 apache 配置指令,它将所有请求重写到您的 index.php。这就是为什么当你点击被请求的 URL 时你会得到它的内容。