-
Conexoes porta 80
Pessoal estou tento problema no trágego do meu link por causa de requisições na porta 80, o problema é que parece existir maquinas com virús vindo da rede externa para meu servidor web e sao muitas maquinas... e isso esta gerando muito trafego, meu link fica full de conexoes..
acrescentei algumas regras no fw para minimizar o problema e abaixei o numero de requisições de conexoes simultaneas p/ o apache, mas nao adiantou muito nao.
Segue abaixo algumas mensagens do meu access.log do apache.
70.85.170.130 - - [03/Aug/2005:09:05:51 +0000] "GET http://vaclick.epilot.com/click.aspx...company.net%2F HTTP/1.1" 302 423 "http://www.aezsearch.com/smartppc4/s...ult=1&action=" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; AtHome021SI; Q312461)"
70.115.210.68 - - [03/Aug/2005:09:05:52 +0000] "GET http://66.218.74.170/config/login?.r...na&passwd=bear HTTP/1.0" 200 3744 "-" "-"
61.153.251.186 - - [03/Aug/2005:09:05:52 +0000] "GET http://202.103.56.107:7000 HTTP/1.1" 400 307 "http://www.n-ku.com/blog/blog.asp?name=bigboyq" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT 5.0; .NET CLR 1.1.4322)"
61.153.251.186 - - [03/Aug/2005:09:05:52 +0000] "GET http://202.103.56.107:7000 HTTP/1.1" 400 307 "http://www.n-ku.com/blog/blog.asp?name=bigboyq" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT 5.0; .NET CLR 1.1.4322)"
201.8.169.242 - - [03/Aug/2005:09:06:02 +0000] "GET http://e4.member.ukl.yahoo.com/confi...g&passwd=bobby HTTP/1.0" 200 12432 "-" "-"
estao vindo conexoes referente a sites / dominios que nao existem no meu servidor web
como posso eliminar esse problema ?
URGENTE !!!!![/img]
-
Conexoes porta 80
amigo , estou com o mesmo problema... Se conseguir resolver manda noticiais.... HELPHELPHELP
-
Conexoes porta 80
isso aí tá mais parecendo um ataque DoS (ou DDoS). Acrescentar regras no seu firewall não adianta de nada, o link vai continuar ocupado, oras, uma vez que o tráfego VAI chegar à sua máquina.
Vc precisa pedir ao seu provedor para analisar o tráfego no roteador de borda, inicialmente, ou até mesmo nos demais dêle, para (eventualmente) trocar o seu IP-Address por algum outro que possa ficar imune - pelo menos por algum tempo.
O provedor pode (após análise) bloquear diretamente no roteador de borda êsse tráfego inútil.
Resumo: nada que vc possa fazer aí. E vc precisa analisar direito isso e o log (do Apache) não é o melhor lugar pra isso, precisa mesmo é analisar o tráfego diretamente.
tomei a liberdade de procurar algo no google, pra que vc analise se tem algo a ver com o que se passa. Se não tiver, bem...
flames > /dev/null
:twisted:
-
Conexoes porta 80
Pois é, ja falei com a telefonica.. mas sabe como eles são né..
Fechei no iptables todo acesso externo a minha porta 80, pelo menos pra amenizar a situação... ficou melhor...
Engraçado que o Snort com regras pra resetar nao pegou nada disso..
E nele tem DDOS.
Mas valeu... obrigado
Marcelo
-
APACHE
Opa pessoal, logo apos escrever esse TOPICO, decidi colocar a mão na massa para resolver esse problema e acabei Desenvolvendo um "SCRIPT EM PHP" que roda a partir do SHELL e le os logs do APACHE, Analisa certas partes de cada linha corrente e valida se é valido ou não, caso seja válido o tragedo passa direto, caso seja invalido, ele rejeitas as conexoes vindas do hosts. bloqueando com o route e nao pelo firewall q nao consegue barrar.
O SCRIPT roda de 5 em 5 minutos.... meu trafego voltou ao normal... mil maravilhas... agora estou somente aperfeiçoando p/ ficar mais funcional ainda... Valeu a todos e obrigado e abraços
Anderson
[email protected]