Estou com um problema em meu servidor, acredito que seja algum ataque do tipo DoS ou algo similar.
O meu ambiente é o seguinte, um cloud rodando apache2 como proxy reverso e o jboss, existe 5 aplicações no jboss onde o apache faz o proxy reverso conforme a url de entrada.
A algum tempo tenho notado um lentidão enorme em meus sistemas quando acesso via url chegando até o apache, mas quando acesso direto o jboss via ip a aplicação fica normal.
Verifiquei os logs do apache2, e notei que o access.log esta extremamente grande, e olhando os acesso vejo coisa nada a ver com o meu endereço pro ex:
115.141.61.130 - - [06/Feb/2012:11:24:59 -0200] "GET
http://ib.adnxs.com/ptj?member=541&size=300x250&inv_code=1364210&referrer=http://popcpm.com/splash.php&redir=http%3A%2F%2Fad.yieldmanager.com%2Fst%3Fanmember%3D541%26anprice%3D%7BPRICEBUCKET%7D%26ad_type%3Dad%26ad_size%3D300x250%26section%3D1364210 HTTP/1.0" 200 2321 "
http://adserving.cpxinteractive.com/st?ad_type=iframe&ad_size=300x250§ion=1364210" "Mozilla/4.0 (compatible; MSIE 6.01; Windows 95; Alexa Toolbar)"
183.181.60.214 - - [06/Feb/2012:11:24:59 -0200] "GET
http://ameblo.jp/kizunaya100/ HTTP/1.1" 200 12772 "" "Firefox 7.0 Mozilla/5.0 (Windows NT 5.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
176.31.239.115 - - [06/Feb/2012:11:24:58 -0200] "GET
http://www.loudbusiness.com/category/bed/ HTTP/1.0" 404 607 "
http://www.loudbusiness.com/category/bed/" "Mozilla/4.0 (compatible; MSIE 4.01; Digital AlphaServer 1000A 4/233; Windows NT; Powered By 64-Bit Alpha Processor)"
E isso não para, podemos verificar que o horário minuto e segundo é o mesmo... sem interrupçoes, até que meu apache fique completamente lento e o arquivo de log fica enorme.
Gostaria de perguntar a comunidade se isto é um ataque do tipo DoS e o que eu poderia fazer para bloquear estes acessos estranhos?
Lembrando que nenhum destes dominios logados são os meus sendo que os meus dominios são logados no arquivo other_vhosts_access.log
Valew galera.
