服务器 Gind.cn
  1. 服务器 Gind.cn
  3. 机器人锤击apache2
Intereting Posts
由于ec2上的缓慢IO,debugging高负载平均值 重新configurationmysql-server 5.1 开发,testing,分期和生产模型 Apache – 如何将用户redirect到给定的URL 在IIS7中启用HTML文件的POST请求 客户端正在请求什么是远程桌面的带宽要求 我在云端有Windows服务器。 我怎么能告诉WSUS会帮我省钱? 为什么mongo的rs.status()在离线状态下显示中等健康状态 FreeBSD上的Cloud-init本地阶段 使用MyISAM的最好的my.cnfconfiguration为8GB MySQL服务器使用 一些url的Apache证书无效 基于Linux的samba共享中的ACL 如何设置TLS以使用Postfix邮件服务器 authentication用户从Apache到glasfish 只允许访问一个页面,阻止nginx中的ips

机器人锤击apache2

我的apache2日志轰炸线如: 

 108.5.114.118  -   -  [03 / Aug / 2012:15:23:28 +0200]“GET http://xchecker.net/tmp_proxy2012/http/engine.php HTTP / 1.0”404 1690“http:// xchecker。 net / tmp_proxy2012 / http / engine.php“”Mozilla / 4.0(compatible; MSIE 6.0; Windows 98; Win 9x 4.90)“

我为此感到困惑 – 为什么要求一个奇怪的xchecker.net域首先在我的服务器上结束?

这个要求每隔几十秒就要来一次,一定是机器人。 任何想法是什么?

顺便说一句,该url是有效的 – 显然它包含一些testing页…

有人正在通过请求来检查您的服务器是否为开放式代理服务器:
GET http://xchecker.net/tmp_proxy2012/http/engine.php HTTP/1.0

它看起来不像你正在运行一个开放的代理,因为它回应了一个404
有关更多信息,请参阅: http : //wiki.apache.org/httpd/ProxyAbuse
特别是“怎样才能真正确定我不允许滥用其他网站”的一部分。

即使应该清楚您不运行代理,我们也不能说明它为什么会继续尝试。
也许那个家伙脚本坏了。

我也不断从这个机器人打

我刚刚在我的.htaccess中添加了这个 

 RewriteEngine on # Options +FollowSymlinks RewriteCond %{HTTP_REFERER} xchecker\.net [NC] RewriteRule .* - [F]

然后在我的错误日志

[error] [client 91.237.249.35] client denied by server configuration:/var/www/html/proxy2012/http/engine7.php,referer: http : //xchecker.net/proxy2012/http/engine7.php

到现在为止还挺好。

另外如果攻击速度超快,你可能想要使用mod_evasive

我发送了一封电子邮件给unlinked.tn-media.de,但他们没有回应。

xchecker.netxchecker.net具有相同的IP。 所以,他们都指向同一台服务器。 你知道你正在运行代理吗?

如果没有,我build议你closures它,并重build你的服务器。

检查来源,对于上面的请求,这是108.5.114.118 。 如果他们一直在窃听你,用iptables阻止他们。 如果有很多不同的知识产权,你是从一个帽子击中。 没有什么可以做,但离线的页面。

该页面为我存在:

在这里输入图像说明

反向DNS也不加: 

 [bart@dev ~]$ dig xchecker.net ; <<>> DiG 9.7.3-P3-RedHat-9.7.3-8.P3.el6_2.3 <<>> xchecker.net ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 15494 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;xchecker.net. IN A ;; ANSWER SECTION: xchecker.net. 108 IN A 193.28.228.90 ;; Query time: 11 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Fri Aug 3 18:14:36 2012 ;; MSG SIZE rcvd: 46 [bart@dev ~]$ dig -x 193.28.228.90 ; <<>> DiG 9.7.3-P3-RedHat-9.7.3-8.P3.el6_2.3 <<>> -x 193.28.228.90 ;; global options: +cmd ;; Got answer: ;; ->>HEADER<<- opcode: QUERY, status: NOERROR, id: 515 ;; flags: qr rd ra; QUERY: 1, ANSWER: 1, AUTHORITY: 0, ADDITIONAL: 0 ;; QUESTION SECTION: ;90.228.28.193.in-addr.arpa. IN PTR ;; ANSWER SECTION: 90.228.28.193.in-addr.arpa. 2553 IN PTR unlinked.tn-media.de. ;; Query time: 59 msec ;; SERVER: 8.8.8.8#53(8.8.8.8) ;; WHEN: Fri Aug 3 18:14:44 2012 ;; MSG SIZE rcvd: 79

如果你的服务器不是193.28.228.90 ,那么有人在你的主机文件中有你的域名&'193.28.228.90',这样就可以解决你的问题。 如果你看到很多不同的IP,这可能是一个被推送到很多被感染的计算机的变化。

我的猜测是,你的服务器的IP在过去被用于一些不好的目的。

如果你不想停止404的,你可以把它放在你的虚拟主机configuration之上: 

 <VirtualHost _default_:*> RedirectMatch permanent ^/?(.*) http://myrealwebsite.com/ </VirtualHost>

这将redirect每个未知的虚拟主机到您的主站点。

我已经遇到了这个问题很多次 – 从数以千计的独特的IP受到打击。 他们似乎并不关心我的服务器拒绝代理。 他们只是不停地击中它。 我的解决scheme是写一个简短的应用程序,尾随访问日志,并寻找符合模式的匹配。 即请求其他域上的内容。 在parsing之后,我将它们添加到iptables的下拉列表中。

服务器资源负载急剧下降!

我也看到很多这些请求在我的日志,search服务器的IP地址和代理谷歌我来到这个名单: http : //vietyahoo.vn/http-proxy/4341-list-http-proxies-thang-12- A-2.HTML

它似乎是一个工具列表,我们所有的服务器被用作代理。

我发现我的服务器的3个IP地址,不再怀疑为什么我得到这么多的请求,即使他们只有错误。

我为IP地址添加了一个空白的networking,因为我的客户只使用这些名字,我希望这将有助于尽快摆脱名单。