Registros de acceso de Apache extraño

Navega tus respuestas
2

Un sitio nuestro ha sido atacado por algún tipo de ataque extraño y estoy tratando de averiguar exactamente cómo ha sucedido. Básicamente, lo más extraño es que los registros parecen corresponder a sitios web completamente diferentes y, por lo tanto, producen errores 404 todo el tiempo. ¿Alguna idea de qué tipo de ataque es este, cómo está sucediendo y por qué no muestra la verdadera URL del sitio? 

216.244.83.56 - - [05/Apr/2014:22:43:44 +0100] "GET http://anx.batanga.net/ttj?id=2385001&size=728x90 HTTP/1.0" 404 9 "http://www.daysalary.com/?p=1622" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.0 (KHTML, like Gecko) Chrome/4.0.206.1 Safari/532.0"
172.246.42.217 - - [05/Apr/2014:22:43:44 +0100] "GET http://ads.yahoo.com/st?ad_type=ad&ad_size=728x90&section=5200303&pub_url=${PUB_URL} HTTP/1.0" 404 9 "http://www.healthbecare.com/?p=408" "Mozilla/4.0 (MSIE 6.0; Windows NT 5.0)"
216.176.190.44 - - [05/Apr/2014:22:43:44 +0100] "GET http://anx.batanga.net/ttj?id=2483524&size=728x90 HTTP/1.0" 404 9 "http://www.especialfinance.com/?p=1383" "Mozilla/4.0 (compatible; MSIE 6.0; America Online Browser 1.1; rev1.5; Windows NT 5.1; SV1; FunWebProducts; .NET CLR 1.1.4322)"
67.198.154.66 - - [05/Apr/2014:22:43:44 +0100] "GET http://ad.afy11.net/srad.js?azId=1000011319807 HTTP/1.1" 404 9 "http://rumorfix.com/" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-GB; rv:1.9.1.2) Gecko/20121231 Firefox/3.5.2 WinNT-PAI 21.07.2009"
216.244.76.188 - - [05/Apr/2014:22:43:44 +0100] "GET http://ads.yahoo.com/st?ad_type=pop&ad_size=0x0&section=5376206&banned_pop_types=29&pop_times=1&pop_frequency=0&pub_url=${PUB_URL} HTTP/1.0" 404 9 "http://www.supermoviepass.com/index.php?option=com_content&view=article&id=1106:2013-12-18-20-38-05&catid=46:kids-movies&Itemid=160" "Opera/9.80 (Windows NT 6.0; U; en) Presto/2.7.39 Version/11.00"
208.115.109.39 - - [05/Apr/2014:22:43:45 +0100] "GET http://anx.batanga.net/ttj?id=2481220&size=300x250 HTTP/1.0" 404 9 "http://www.pusheducation.com/tag/california-community-college-listing/" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.9 (KHTML, like Gecko) Chrome/5.0.307.1 Safari/532.9"

Como puede ver en los registros, esto parece ser una especie de denegación de servicio distribuida. El ataque es rápido pero no tan rápido que derribará a Apache por sí mismo, pero el procesamiento constante de la lógica de la aplicación puso a nuestro servidor bajo mucha presión.

    
pregunta Chris 05.04.2014 - 23:49
fuente

3 respuestas

4

Parece que "ellos" están intentando obtener diferentes anuncios a través de su servidor, esperando que se comporte como un servidor proxy HTTP. (Tal vez antes estaba mal configurado para ser un proxy abierto).

En lugar de enviar un: 

GET /filename.php HTTP/1.1

Están enviando un mensaje 

GET http://adhost.com/dir/file HTTP/1.1

De esta manera, "ellos" podrán mostrar muchos anuncios para sus sitios web, provenientes de diferentes direcciones IP, esencialmente incrementando sus impresiones y potencialmente obteniendo más dinero.

Asegúrese de que su servidor no sea un proxy abierto, y además, no se preocupe, los bots envían todo tipo de solicitudes a cualquier servidor web público.

    
respondido por el ndrix 06.04.2014 - 09:31
fuente
0

Esto es un escaneo normal de huellas dactilares. Varias herramientas envían solicitudes GET directas / extrañas. Generalmente se hace para detectar el tipo de servidor y otra información. No hay verdadera "magia" aquí. Se puede falsificar.

    
respondido por el user43488 06.04.2014 - 00:14
fuente
0

este es un escaneo de proxy abierto ("GET http: // ..." en lugar de un GET npormal - Solicitud como "GET /index.html") a la que responde a 404: error no encontrado de su servidor, por lo que no es necesario realizar ninguna acción desde su sitio

    
respondido por el that guy from over there 06.04.2014 - 09:45
fuente

Lea otras preguntas en las etiquetas

¿Apache servidor a través de HTTP es vulnerable a Heartbleed? [duplicar] ¿Qué me impide usar el envenenamiento ARP para forzar a un cliente a usar HTTP?