Servidor Apache - Consumo de banda

Iniciado por jredigolo, 11 de Março de 2016, 14:09

tópico anterior - próximo tópico

jredigolo

Senhores,
Tenho um cloud server na Locaweb que tem apenas um servidor Apache instalado e um banco de dados postgresql. Os usuários são equipamentos M2M que buscam informações no banco via requisição http. O sistema funciona perfeitamente há 2 anos, porém, de dois meses para cá o consumo de banda que era de no máximo 15 Gb por mes passou a 200 Gb e este mes  vai passar de 300. Estou vasculhando o servidor para encontrar o intruso que está provocando isso e descobri tentativas de acesso de alguns IP chineses, mas que consomem muito pouca banda. Ontem cheguei no problema, mas empaquei na solução e por isso peço ajuda dos experts deste forum pois já "googlei" e não encontrei nada a respeito.
Notei que o proprio servidor faz uma entrada http para uma url desconhecida. Ocorre que ele faz isso milhares de vezes por segundo, durante quase 30 minutos, ai já viu, o consumo de banda vai la pra cima. Essa é a linha gerada no log do apache:
127.0.0.1 - - [05/Mar/2016:09:38:24 -0300] "GET / HTTP/1.1" 200 0 "http://www.cod1888.com" "Mozilla/11.0 (compatible; MSIE 9.0; Windows 6.2)"
Estou desesperado, pois o provedor cobra R$ 3,00 por Gb adicional ao plano e essa conta está subindo mes a mes.
Alguma sugestão?

zekkerj

Isso ocorre com alguma periodicidade, certo?
Já olhou nos seus crontabs se há algum processo agendado com a mesma periodicidade?
Interessante que o resto da linha faz pouco sentido, pois está indicando que o acesso vem de uma máquina Windows 8 --- o que é falso, visto que vem da sua própria máquina.
Prognóstico ruim, mau feng shui.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

Tota

Não irá resolver seu problema, mas existe outro usuário no fórum com o mesmo problema na locaweb.

http://ubuntuforum-br.org/index.php/topic,119406.msg656241.html#msg656241

Assim, parece ser um problema nos servidores / firewall da própria locaweb que não está filtrando estes endereços.

Se você tem seu próprio firewall experimente bloquer este endereço na entrada e na saída.

zekkerj

Não acho que seja o mesmo problema. Mas sim, é parecido o suficiente pra não achar que seja coincidência...
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

jredigolo

Realmente é periódico. Já vasculhei o crontab e não achei nada.
A solução do colega com o mesmo problema foi resetar o servidor e instalar tudo de novo. Não creio que essa seja a solução, mas vou considerar.
A Locaweb não quer saber. Como a administração do servidor não é deles, o argumento é de que voce tem que criar seus próprios mecanismos para evitar ataques. Eles mandam a conta e pronto.

irtigor

Começar do zero (ou a partir de um ponto no passado, da onde você tem certeza absoluta de que o servidor não foi comprometido -- por via de backups), é a melhor solução. Você estuda o sistema comprometido pra saber o que foi roubado, intender como a coisa foi possível e evitar que aconteça de novo... mas você não deve assumir que conseguiu eliminar todos os problemas (sempre tem alguém por ai que é mais esperto e eliminar o sintomas não necessariamente elimina a doença). Se procurar pelo assunto, vai ver que as recomendações normalmente são: a) parar o servidor, pra não ser culpado por negligencia e b) começar do zero, pra ter certeza absoluta que nada foi alterado por terceiros.