apache 遭到不明連線攻擊 - PCDVD數位科技討論區

shinnlu

Advance Member

加入日期: Jan 2003

文章: 334

apache 遭到不明連線攻擊

前幾天主機掛掉重裝，結果重裝之後就遇到一堆不明連線攻擊，就好像被 ddos 一樣，來自世界各地的 ip 都有，擋也擋不完

115.159.45.101 - - [05/Mar/2015:11:06:17 +0800] "CONNECT 113.106.100.126:806 HTTP/1.1" 405 234 "-" "-"
61.147.96.238 - - [05/Mar/2015:11:06:17 +0800] "CONNECT 14.17.109.152:802 HTTP/1.0" 405 234 "-" "-"
115.29.128.237 - - [05/Mar/2015:11:06:18 +0800] "GET http://www.baidu.com/s?wd=" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; SE 2.X MetaSr 1.0)"
5.79.162.226 - - [05/Mar/2015:11:06:18 +0800] "GET http://check2.zennolab.com/proxy.php HTTP/1.1" 404 207 "RefererString" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:24.0) Gecko/20100101 Firefox/24.0"
59.175.227.254 - - [05/Mar/2015:11:06:19 +0800] "POST http://b2c.csair.com/B2C40/modules/...electDirect.jsp HTTP/1.1" 404 248 "http://b2c.csair.com" "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; WOW64; Trident/5.0)"
112.26.64.61 - - [05/Mar/2015:11:06:19 +0800] "GET http://www.douyutv.com/live_specifi..._info?fromuid=6 HTTP/1.1" 404 230 "http://www.douyutv.com/live_specific/get_room_show_info?fromuid=640" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
115.29.128.228 - - [05/Mar/2015:11:06:20 +0800] "GET http://www.baidu.com/s?wd=h" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; SE 2.X MetaSr 1.0)"

首先排除網站裡面的程式被篡改，因為我把全部的檔案移除，也是有同樣的問題
我有用 ProxyRequest On，因為要把某個路徑導到內部伺服器，但就算關掉也是一樣

好像我家的主機被當成跳板一樣，有什麼方法可以擋掉這些莫名的連線呢?

2015-03-05, 11:07 AM #1

twu2

Power Member

加入日期: Jan 2002

您的住址: Taipei

文章: 664

電腦關了就不會有這些連線了. 只要開著... 別人來敲門是正常的...

看起來都是 4xx, 應該還好... 如果有看到 200 的... 就表示你的 rule 有問題吧.

__________________

Tommy 碎碎念...

2015-03-05, 11:21 AM #2

shinnlu

Advance Member

加入日期: Jan 2003

文章: 334

如果是有規則可循，還可以擋的下來，不過看起來是全球各地的ip address 都有

我覺得這些連線很怪，他們全部都是透過這台機器，再往外連線，所以我會說像跳板一樣

剛剛看到一條 200:
199.83.94.152 - - [05/Mar/2015:12:03:48 +0800] "GET http://8090free.com/ HTTP/1.0" 200 6439 "http://8090free.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)"

2015-03-05, 11:56 AM #3

PAN_PAN Junior Member 加入日期: Jan 2003 您的住址: Shattrath City 文章: 948	開門做生意就不要怕壞人來, 如果保全做的好壞人來看也不會怎樣只看 Apache log 要檔是擋不完的你看到很多都是 ref 的連結很多時候都是類機器人搜尋引擎的東西, 或是有人把你的某某網址貼在某的網站你要擔心的是其他的問題不只是單純的看 Apache log
2015-03-07, 02:51 AM #4

tvirus Golden Member 加入日期: Jan 2003 您的住址: 惡運深淵文章: 2,562	我自己是用fail2ban擋掉不過... 反正[確認可當跳板]結果都已經拿到了,擋掉IP也沒啥意義就是, 所以我都是把proxy模組拿掉改掉[要把某個路徑導到內部伺服器]比較實在,就透過一隻程式去當介接這樣.
2015-03-08, 09:12 PM #5

shinnlu

Advance Member

加入日期: Jan 2003

文章: 334

謝謝上面幾位網友的回答
tvirus的建議對我來說較為實際
最後的問題是出在 proxy 模組上面，因為server 硬碟掛掉，設定檔連參考的機會都沒有，只能憑印象設定上去
會被當成跳板也是那一句 ProxyRequest On，其實要做 reverse 是不用這一句
只需要打開proxy、proxy_http 模組，再設定reverse 路徑就好了
ProxyPass /abc http://server.ip.address/abc

2015-03-08, 09:40 PM #6