Quantidade enorme de acesso ao apache muito estranho

Iniciado por cadusanvido, 06 de Fevereiro de 2012, 14:09

tópico anterior - próximo tópico

cadusanvido

Estou com um problema em meu servidor, acredito que seja algum ataque do tipo DoS ou algo similar.

O meu ambiente é o seguinte, um cloud rodando apache2 como proxy reverso e o jboss, existe 5 aplicações no jboss onde o apache faz o proxy reverso conforme a url de entrada.

A algum tempo tenho notado um lentidão enorme em meus sistemas quando acesso via url chegando até o apache, mas quando acesso direto o jboss via ip a aplicação fica normal.

Verifiquei os logs do apache2, e notei que o access.log esta extremamente grande, e olhando os acesso vejo coisa nada a ver com o meu endereço pro ex:


115.141.61.130 - - [06/Feb/2012:11:24:59 -0200] "GET http://ib.adnxs.com/ptj?member=541&size=300x250&inv_code=1364210&referrer=http://popcpm.com/splash.php&redir=http%3A%2F%2Fad.yieldmanager.com%2Fst%3Fanmember%3D541%26anprice%3D%7BPRICEBUCKET%7D%26ad_type%3Dad%26ad_size%3D300x250%26section%3D1364210 HTTP/1.0" 200 2321 "http://adserving.cpxinteractive.com/st?ad_type=iframe&ad_size=300x250§ion=1364210" "Mozilla/4.0 (compatible; MSIE 6.01; Windows 95; Alexa Toolbar)"
183.181.60.214 - - [06/Feb/2012:11:24:59 -0200] "GET http://ameblo.jp/kizunaya100/ HTTP/1.1" 200 12772 "" "Firefox 7.0 Mozilla/5.0 (Windows NT 5.1; rv:7.0.1) Gecko/20100101 Firefox/7.0.1"
176.31.239.115 - - [06/Feb/2012:11:24:58 -0200] "GET http://www.loudbusiness.com/category/bed/ HTTP/1.0" 404 607 "http://www.loudbusiness.com/category/bed/" "Mozilla/4.0 (compatible; MSIE 4.01; Digital AlphaServer 1000A 4/233; Windows NT; Powered By 64-Bit Alpha Processor)"


E isso não para, podemos verificar que o horário minuto e segundo é o mesmo... sem interrupçoes, até que meu apache fique completamente lento e o arquivo de log fica enorme.

Gostaria de perguntar a comunidade se isto é um ataque do tipo DoS e o que eu poderia fazer para bloquear estes acessos estranhos?

Lembrando que nenhum destes dominios logados são os meus sendo que os meus dominios são logados no arquivo other_vhosts_access.log

Valew galera.

zekkerj

Verifique se vc não está com proxy aberto pra internet. Se estiver, tem nego pegando carona em sua conexão.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D

cadusanvido

Citação de: zekkerj online 06 de Fevereiro de 2012, 14:15
Verifique se vc não está com proxy aberto pra internet. Se estiver, tem nego pegando carona em sua conexão.


Como faço para verificar se o proxy está aberto?

Vlw

zekkerj

Uma forma é vc configurar uma máquina com uma conexão externa pra usar o endereço de seu servidor como servidor proxy.  Se funcionar, está aberto.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D