Portanto, meu servidor apache estava lento e procurei nos arquivos de log. Acontece que eles cresceram para 12 GB de acessos de toneladas e vários hosts diferentes tentando acessar /wpad.dat em um dos meus Vhosts.
Agora, o host virtual em questão é o vhost "catch-all" que é chamado quando um navegador não fornece um nome de host conhecido.
Atualmente, estou recebendo milhares de solicitações por minuto para "/wpad.dat" e, até onde o Google pode me dizer, isso é algo que tem algo a ver com servidores proxy? Mas eu não uso servidores proxy, então por que estou sendo literalmente bombardeado por esses pedidos?
Estou recebendo mais solicitações por minuto para esse arquivo inexistente do que as solicitações normais. Então, suponho que estou sob alguma forma de ataque. O engraçado é que geralmente ocorre apenas à noite (aqui na Suécia) e não durante o dia.
Um tamanho de amostra das 500 solicitações mais recentes (ou seja, meio minuto) mostra que ele consiste em 200 hosts diferentes e uma pequena amostra mostra que todos são hosts válidos (não proxies TOR). Portanto, alguns servidores DNS estão configurados incorretamente ? Eu executo um servidor DNS na máquina.
Por favor ajude! :)
EDIT O host que eles estão acessando é "cluster.atlascms.se", então o que eles fazem é acessar http://cluster.atlascms.se/wpad.dat milhares de vezes por minuto.
Agora, cluster.atlascms.se é meu host de failover de DNS. Portanto, todos os meus clientes apontam seus subdomínios para cluster.atlascms.se, que por sua vez os aponta para o IP atual (servidor principal do servidor de failover).
Como parece - isso significa que estou recebendo muitas e muitas solicitações para cluster.arlascms.se - isso pode significar que meu DNS está configurado incorretamente?
fonte
wpad.dat
que simplesmente aponte o anfitrião local. Isso deve quebrar as coisas o suficiente, quem quer que esteja causando o problema pode levar tempo para corrigi-lo.Respostas:
Parece que sua zona DNS
eklundh.com
possui um registro curinga definido apontando paracluster.atlascms.se.
Isso incluiwpad.eklundh.com
. Sugiro que você adicione um registro DNS definindo explicitamentewpad.eklundh.com
. para127.0.0.1
ou algo assim.fonte
As máquinas procurarão um arquivo WPAD.dat hierarquicamente com base em seu próprio FQDN, se estiverem configuradas para a descoberta automática de proxy. Portanto, se um PC com Windows é membro de um domínio cdecom, procurará o WPAD.dat em:
Provavelmente, em algum lugar, alguém tem um domínio que é um subdomínio de um dos quais você está hospedando HTTP e não configurou ou desabilitou a descoberta automática de proxy corretamente. Em conseqüência, eles provavelmente estão pesquisando hierarquicamente.
É possível que um vírus os tenha causado; provavelmente, se as máquinas que fazem a consulta são extremamente numerosas e em diversas sub-redes, é isso que acontece.
Se possível, evite definir um registro DNS para o subdomínio wpad de qualquer coisa que você não pretenda usar para a descoberta automática de proxy.
Se isso não for uma opção, você pode considerar o uso da filtragem da camada 7 para encontrar consultas para wpad.dat e rejeitar os pacotes com uma mensagem ICMP. Essa pode ser a maneira mais eficaz de interromper o tráfego, a menos que os IPs sejam todos da mesma rede e seu contato técnico em quem é responsivo.
O que apontará um host em um local específico para o wpad.dat inclui configurações de domínio, a opção de nome de domínio nas respostas DHCP e uma configuração explícita no navegador da Web para carregar informações de proxy de algum URL.
fonte
A primeira coisa que eu faria é tentar descobrir onde esses pedidos estão indo para , ou seja, o seu destino. O Apache não registra o nome do host por padrão, portanto, você pode usá
tcpdump
-lo para obter uma breve captura e inspecioná-lo quanto aoHost:
cabeçalho da solicitação ou alterar o formato de log do Apache para registrá-lo. Prefiro registrá-lo no segundo campo inútil, por exemplo:Depois de saber para quem essas solicitações equivocadas estão sendo endereçadas, o que fazer a seguir pode ficar claro. Por exemplo, pode ser uma grande empresa;
example.se
nesse caso, você pode encontrar os administradores de rede e gritar com eles.fonte
wpad.eklundh.com
(você possui esse registro) e computadores que possuem um FQDN definido como algo como * .eklundh.com` tentam automaticamente fazer a pesquisa no WPAD.Apenas para sua informação,
ModSecurity
vai pegar e bloquear. Existe um conjunto de regras fornecido pelo Comodo. Aqui está uma entrada de log. Retirei os dados relevantes da conta para que eles contenham apenas para usá-los como exemplo.fonte
Teve este problema e o corrigiu criando um arquivo wpad.dat, colocando a página "esta página deixada em branco".
CPU foi quase zero. Problema parece resolvido.
fonte