apache támadás
Rostás Béla
bela at altisk-lmizse.sulinet.hu
2007. Okt. 8., H, 09:23:33 CEST
Sziasztok!
A problémám a következő:
Azt vettük észre, hogy a suliban nagyon lelassult a net. Kiderítettem, hogy
eszméletlen nagyszámú kérés érkezik a 80-as portra. Igaz, hogy üzemeltetünk
webszervert, de ennyire azért nem vagyunk népszerűek. No gondoltam megnézem
az apache logját, és akkor igen elcsodálkoztam.
Idézet az access_log-ból:
19.254.32.113 - - [07/Oct/2007:23:35:19 +0200] "CONNECT 203.165.10.71:25
HTTP/1.0" 405 312 "-" "-"
194.143.136.249 - - [07/Oct/2007:23:35:23 +0200] "CONNECT
205.188.153.249:443 HTTP/1.0" 405 315 "-" "-"
58.49.253.193 - - [07/Oct/2007:23:35:25 +0200] "GET
http://www.jadesearch.net/directory/exercise/aff/1011 HTTP/1.0" 404 308 "
85.220.92.229 - - [07/Oct/2007:23:35:27 +0200] "GET
http://login.vip.krs.yahoo.com/config/login?.patner=sbc&passwd=dream&logi
81.249.250.253 - - [07/Oct/2007:23:36:13 +0200] "GET
http://clickingagent.com/proxycheck.php?ip=195.199.179.113&port=80&loc=
81.249.250.253 - - [07/Oct/2007:23:36:13 +0200] "GET
http://www.interbal.com/ADVERTISING.php HTTP/1.0" 404 294 "http://www.in
208.74.100.8 - - [07/Oct/2007:23:36:14 +0200] "GET
http://www.ticketmaster.com/event/03003D7E41556571 HTTP/1.1" 404 305 "-" "
72.232.86.210 - - [07/Oct/2007:23:36:15 +0200] "CONNECT 205.188.179.233:443
HTTP/1.0" 405 315 "-" "-"
194.143.136.248 - - [07/Oct/2007:23:36:15 +0200] "CONNECT
205.188.153.249:443 HTTP/1.0" 405 315 "-" "-"
216.15.236.131 - - [07/Oct/2007:23:36:16 +0200] "GET
http://www.ticketmaster.com/event/0A003F0FD80FB0F8?artistid=1149434&majo
203.111.234.35 - - [07/Oct/2007:23:36:16 +0200] "GET
http://209.73.171.126/config/isp_verify_user?l=_darkthrone_&p=stick HTTP
84.19.176.7 - - [07/Oct/2007:23:36:18 +0200] "GET
http://64.233.171.102/search?q=%2Fmt-tb.cgi%2F+wash&num=100&filter=0&sa=N&h
219.254.32.108 - - [07/Oct/2007:23:36:19 +0200] "CONNECT 125.206.187.59:25
HTTP/1.0" 405 313 "-" "-"
194.143.136.249 - - [07/Oct/2007:23:36:19 +0200] "CONNECT
205.188.153.249:443 HTTP/1.0" 405 315 "-" "-"
Ez nekem úgy tűnik, mintha valaki olyan kéréseket küldene az apache-nak,
hogy másik weboldalról kérje az általa megadott URL-t.
Ha leállítom a webszervert, forgalom visszáll normálisra. access_log-om 4
nap alatt 115 megásra hízott, úgyhogy kérések jönnek rendesen..
Hogyan lehet ezt tiltani, ill. egész pontosan mi történik?
Segítségeteket előre is köszönöm.
Üdvözlettel: Rostás Béla
--------- következő rész ---------
Egy csatolt HTML állomány át lett konvertálva...
URL: http://lista.sulinet.hu/pipermail/techinfo/attachments/20071008/51a50b57/attachment.html
További információk a(z) Techinfo levelezőlistáról