我有一个 Apache2 实例,由于某种原因,它开始每秒接收数百个请求,这些请求来自各种不在这里托管的域。它上面没有运行任何公共程序。
以下是 access.log 的摘录:https://gist.github.com/d9edfc546ca77d17b1df
值得关注的事实:
- bind9 安装了几天,但不再运行
- 最近切换到静态 IP
- 有一个指向该机器的公共子域(即 xxx.domain.com)
- 端口 22、80 以及从路由器转发的其他一些端口
iftop 显示许多活动连接
unn-46-234-119-111.cloudee.eu:64526
dynamicip-94-181-151-242.pppoe.penza.ertelecom.ru:64219
c-71-228-220-228.hsd1.tn.comcast.net:51688
89-179-33-252.broadband.corbina.ru:62767
static-98-114-145-42.phlapa.fios.verizon.net:32476
以及这些的其他变体,所有这些都指向路由器上被阻止的端口。
nethogPID 0为那些人展示了……
0 root ..1:80-46.234.119.111:64063 0.000 0.000 KB/sec
答案1
从你的日志来看,似乎有人正在使用你的 apache 服务器作为代理,令人不安的是,你似乎正在返回200 还行对于那些代理请求:
46.234.119.111 - - [14/Dec/2011:20:26:53 -0200] "POST http://199.7.177.226/login.php HTTP/1.1" 200 11547
返回值为“200”,您提供了“11547”字节。您应该检查您的 apache 配置,确保您没有配置为开放代理。