|
PCDVD數位科技討論區
(https://www.pcdvd.com.tw/index.php)
- 疑難雜症區
(https://www.pcdvd.com.tw/forumdisplay.php?f=34)
- - apache 遭到不明連線攻擊
(https://www.pcdvd.com.tw/showthread.php?t=1072296)
|
|---|
apache 遭到不明連線攻擊
前幾天主機掛掉重裝,結果重裝之後就遇到一堆不明連線攻擊,就好像被 ddos 一樣,來自世界各地的 ip 都有,擋也擋不完
115.159.45.101 - - [05/Mar/2015:11:06:17 +0800] "CONNECT 113.106.100.126:806 HTTP/1.1" 405 234 "-" "-" 61.147.96.238 - - [05/Mar/2015:11:06:17 +0800] "CONNECT 14.17.109.152:802 HTTP/1.0" 405 234 "-" "-" 115.29.128.237 - - [05/Mar/2015:11:06:18 +0800] "GET http://www.baidu.com/s?wd=" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; SE 2.X MetaSr 1.0)" 5.79.162.226 - - [05/Mar/2015:11:06:18 +0800] "GET http://check2.zennolab.com/proxy.php HTTP/1.1" 404 207 "RefererString" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0" 59.175.227.254 - - [05/Mar/2015:11:06:19 +0800] "POST http://b2c.csair.com/B2C40/modules/...electDirect.jsp HTTP/1.1" 404 248 "http://b2c.csair.com" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)" 112.26.64.61 - - [05/Mar/2015:11:06:19 +0800] "GET http://www.douyutv.com/live_specifi..._info?fromuid=6 HTTP/1.1" 404 230 "http://www.douyutv.com/live_specific/get_room_show_info?fromuid=640" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)" 115.29.128.228 - - [05/Mar/2015:11:06:20 +0800] "GET http://www.baidu.com/s?wd=h" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; SE 2.X MetaSr 1.0)" 首先排除網站裡面的程式被篡改,因為我把全部的檔案移除,也是有同樣的問題 我有用 ProxyRequest On,因為要把某個路徑導到內部伺服器,但就算關掉也是一樣 好像我家的主機被當成跳板一樣,有什麼方法可以擋掉這些莫名的連線呢? |
電腦關了就不會有這些連線了. 只要開著... 別人來敲門是正常的...
看起來都是 4xx, 應該還好... 如果有看到 200 的... 就表示你的 rule 有問題吧. |
如果是有規則可循,還可以擋的下來,不過看起來是全球各地的ip address 都有
我覺得這些連線很怪,他們全部都是透過這台機器,再往外連線,所以我會說像跳板一樣 剛剛看到一條 200: 199.83.94.152 - - [05/Mar/2015:12:03:48 +0800] "GET http://8090free.com/ HTTP/1.0" 200 6439 "http://8090free.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" |
開門做生意就不要怕壞人來, 如果保全做的好 壞人來看也不會怎樣
只看 Apache log 要檔是擋不完的 你看到很多都是 ref 的連結 很多時候都是 類機器人搜尋引擎的東西, 或是有人把你的某某網址貼在某的網站 你要擔心的是其他的問題不只是單純的看 Apache log |
我自己是用fail2ban擋掉
不過... 反正[確認可當跳板]結果都已經拿到了,擋掉IP也沒啥意義就是, 所以我都是把proxy模組拿掉 改掉[要把某個路徑導到內部伺服器]比較實在,就透過一隻程式去當介接這樣. |
謝謝上面幾位網友的回答
tvirus的建議對我來說較為實際 最後的問題是出在 proxy 模組上面,因為server 硬碟掛掉,設定檔連參考的機會都沒有,只能憑印象設定上去 會被當成跳板也是那一句 ProxyRequest On,其實要做 reverse 是不用這一句 只需要打開proxy、proxy_http 模組,再設定reverse 路徑就好了 ProxyPass /abc http://server.ip.address/abc |
| 所有的時間均為GMT +8。 現在的時間是02:26 PM. |
vBulletin Version 3.0.1
powered_by_vbulletin 2025。