Strani log di accesso di Apache

Naviga le tue risposte
2

Un nostro sito è stato preso di mira da una specie di strano attacco e sto cercando di capire esattamente come sta accadendo. Fondamentalmente, la cosa più strana è che i log sembrano corrispondere a siti web completamente diversi e quindi producono sempre 404 errori. Qualche idea su che tipo di attacco si tratti, come sta accadendo e perché non mostra il vero URL del sito? 

216.244.83.56 - - [05/Apr/2014:22:43:44 +0100] "GET http://anx.batanga.net/ttj?id=2385001&size=728x90 HTTP/1.0" 404 9 "http://www.daysalary.com/?p=1622" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.0 (KHTML, like Gecko) Chrome/4.0.206.1 Safari/532.0"
172.246.42.217 - - [05/Apr/2014:22:43:44 +0100] "GET http://ads.yahoo.com/st?ad_type=ad&ad_size=728x90&section=5200303&pub_url=${PUB_URL} HTTP/1.0" 404 9 "http://www.healthbecare.com/?p=408" "Mozilla/4.0 (MSIE 6.0; Windows NT 5.0)"
216.176.190.44 - - [05/Apr/2014:22:43:44 +0100] "GET http://anx.batanga.net/ttj?id=2483524&size=728x90 HTTP/1.0" 404 9 "http://www.especialfinance.com/?p=1383" "Mozilla/4.0 (compatible; MSIE 6.0; America Online Browser 1.1; rev1.5; Windows NT 5.1; SV1; FunWebProducts; .NET CLR 1.1.4322)"
67.198.154.66 - - [05/Apr/2014:22:43:44 +0100] "GET http://ad.afy11.net/srad.js?azId=1000011319807 HTTP/1.1" 404 9 "http://rumorfix.com/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.9.1.2) Gecko/20121231 Firefox/3.5.2 WinNT-PAI 21.07.2009"
216.244.76.188 - - [05/Apr/2014:22:43:44 +0100] "GET http://ads.yahoo.com/st?ad_type=pop&ad_size=0x0&section=5376206&banned_pop_types=29&pop_times=1&pop_frequency=0&pub_url=${PUB_URL} HTTP/1.0" 404 9 "http://www.supermoviepass.com/index.php?option=com_content&view=article&id=1106:2013-12-18-20-38-05&catid=46:kids-movies&Itemid=160" "Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00"
208.115.109.39 - - [05/Apr/2014:22:43:45 +0100] "GET http://anx.batanga.net/ttj?id=2481220&size=300x250 HTTP/1.0" 404 9 "http://www.pusheducation.com/tag/california-community-college-listing/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.9 (KHTML, like Gecko) Chrome/5.0.307.1 Safari/532.9"

Come puoi vedere nei log questa sembra essere una sorta di negazione del servizio distribuita. L'attacco è veloce ma non così veloce da far cadere Apache da solo, ma l'elaborazione costante della logica dell'applicazione ha messo a dura prova il nostro server.

    
posta Chris 05.04.2014 - 23:49
fonte

3 risposte

4

Sembra che "loro" stiano cercando di ottenere annunci diversi attraverso il tuo server, aspettandosi che si comporti come un server proxy HTTP. (Forse il tuo è stato configurato in modo errato prima di essere un proxy aperto.)

Invece di inviare un: 

GET /filename.php HTTP/1.1

Stanno inviando un 

GET http://adhost.com/dir/file HTTP/1.1

In questo modo, "loro" saranno in grado di eseguire il rendering di molti annunci per i loro siti web, provenienti da diversi indirizzi IP, sostanzialmente aumentando le loro impressioni e potenzialmente ottenendo più denaro.

Assicurati che il tuo server non sia un proxy aperto, altrimenti - non preoccuparti, i bot inviano qualsiasi tipo di richiesta a qualsiasi server web pubblico.

    
risposta data 06.04.2014 - 09:31
fonte
0

Questa è la normale scansione delle impronte digitali. Vari strumenti hanno inviato richieste GET dirette / strane. Di solito è fatto per rilevare il tipo di server e altre informazioni. Non c'è vera "magia" qui. Può essere falsificato.

    
risposta data 06.04.2014 - 00:14
fonte
0

questo è un normale open-proxy-scan ("OTTIENI http: // ..." invece di un GET npormale - Richiesta come "GET /index.html") a cui risponde a 404 - Not -Found-Error dal tuo server, quindi nessuna necessità di azione dal tuo sito

    
risposta data 06.04.2014 - 09:45
fonte

Leggi altre domande sui tag

Qual è il problema con la crittografia multipla e come fai a sapere se hai decodificato un cifrario? Un vicino può vedere il mio traffico quando abbiamo Internet via cavo?