我有一个Linux的Apache服务器,运行良好,直到前几天。 发生了什么事情是从访问日志中有这样的行,日志文件每秒都在增长。 最初我怀疑服务器被dos攻击,并停止服务器。 但每当我启动服务器几天后,类似的日志发生。 我想知道是否有人知道发生了什么? 是由病毒引起的吗?
23.19.76.217 - - [17/Oct/2012:10:21:47 -0400] "GET http://ad.globe7.com/st?ad_type=iframe&ad_size=728x90§ion=3633732&pub_url=${PUB_URL} HTTP/1.0" 200 4497 142.54.177.114 - - [17/Oct/2012:10:21:47 -0400] "GET http://ad.globe7.com/imp?Z=300x250&s=3582878&T=3&_salt=3106601030&B=12&m=2&u=http%3A%2F%2Fwww.homesearchcar.com%2F%3Fp%3D184&r=1 HTTP/1.0" 302 - 看起来你不小心configuration了一个开放的代理服务器 ,而互联网却发现了这个问题。
所以每个人和他们的母亲现在都在使用你的服务器代理他们的networking连接,并隐藏他们正在做的事情。 在这种情况下,您的服务器正被用来滥用广告networking。 你会被指责这个。
尽快closures服务器,并重新configuration它以拒绝代理访问,或只在绝对必要的地方允许它 。
试着把这个放在你的.htaccess上
# - 防止代理访问
#
重写引擎
RewriteCond%{HTTP:VIA}!^ $ [OR]
RewriteCond%{HTTP:FORWARDED}!^ $ [OR]
RewriteCond%{HTTP:USERAGENT_VIA}!^ $ [OR]
RewriteCond%{HTTP:X_FORWARDED_FOR}!^ $ [OR]
RewriteCond%{HTTP:PROXY_CONNECTION}!^ $ [OR]
RewriteCond%{HTTP:XPROXY_CONNECTION}!^ $ [OR]
RewriteCond%{HTTP:HTTP_PC_REMOTE_ADDR}!^ $ [OR]
RewriteCond%{HTTP:HTTP_CLIENT_IP}!^ $
RewriteRule。* - [F]
#
你会注意到日志的第二行到最后一行。
... 732&pub_url = $ {PUB_URL} HTTP / 1.0“200 4497
变
... 732&pub_url = $ {PUB_URL} HTTP / 1.0“404 4497
我刚刚遇到同样的问题,我的服务器肯定没有运行一个开放的代理 – 请求都是默认的网站,这是压倒性的数据库服务器。 看起来像一个写得不好的点击欺诈僵尸networking – 它试图使用开放的代理,但不检查是否成功。 我已经看到约1500个IP地址的请求,所以阻止它们是不实际的。
添加这个作为第一个(因此默认)的虚拟主机为我工作
<VirtualHost *:80> ServerName default.only <Location /> Order allow,deny Deny from all </Location> </VirtualHost>
(来自http://wiki.apache.org/httpd/ProxyAbuse )
我碰到的这个变种也在这些广告服务器上请求页面:
这看起来不像一个病毒,但是我们真的很难告诉你,因为我们不知道什么是“正常”的stream量看起来像…但是无论如何,如果你认为这是不好的stream量,那么你应该使用内置的apache机制阻止它,或者总是有一个防火墙)
看看你正在调用的脚本
http://ad.globe7.com/st document.write("<span>Smart Tag Error: Malformed URL - ST_NO_AD_TYPE_GIVEN </span>"); http://ad.yieldmanager.com/imp? // Invalid tag - code 1, Invalid size, entity=0
这是正常的行为? 这甚至是你的?