我有一台 Linux Apache 服务器,几天前它运行良好。发生的事情是,从访问日志中可以看到这样的行,并且日志文件每秒都会增加很多行。最初我怀疑服务器受到了 DOS 攻击并停止了服务器。但几天后,每当我启动服务器时,都会出现类似的日志。我想知道是否有人知道发生了什么?这是由病毒引起的吗?
23.19.76.217 - - [17/Oct/2012:10:21:47 -0400] "GET http://ad.globe7.com/st?ad_type=iframe&ad_size=728x90§ion=3633732&pub_url=${PUB_URL} HTTP/1.0" 200 4497
142.54.177.114 - - [17/Oct/2012:10:21:47 -0400] "GET http://ad.globe7.com/imp?Z=300x250&s=3582878&T=3&_salt=3106601030&B=12&m=2&u=http%3A%2F%2Fwww.homesearchcar.com%2F%3Fp%3D184&r=1 HTTP/1.0" 302 -
答案1
看起来你不小心配置了一个开启代理服务器,互联网也知道了这件事。
因此,现在每个人和他们的母亲都在使用您的服务器来代理他们的网络连接并隐藏他们正在做的事情。在这种情况下,您的服务器被用来滥用广告网络。您将为此受到指责。
尽快关闭服务器并重新配置拒绝代理访问,或仅在绝对必要时才允许。
答案2
我刚刚遇到了同样的问题,我的服务器肯定没有运行开放代理 - 所有请求都到达默认站点,这让数据库服务器不堪重负。看起来像是一个编写糟糕的点击欺诈僵尸网络 - 它试图使用开放代理,但没有检查是否成功。我见过来自约 1,500 个 IP 地址的请求,因此阻止它们并不实际。
将其添加为第一个(因此是默认的)虚拟主机对我来说是有效的
<VirtualHost *:80>
ServerName default.only
<Location />
Order allow,deny
Deny from all
</Location>
</VirtualHost>
(从http://wiki.apache.org/httpd/ProxyAbuse)
我遇到的变体还请求这些广告服务器上的页面:
- ad.adorika.com/
- ad.adserverplus.com/
- ads1.ministerial5.com/
- ads.clovenetwork.com/
- ads.creafi-online-media.com/
- ad.tagjunction.com/
- ax-d.pixfuture.net/
- ib.adnxs.com/
- www.mmadsgadget.com/
答案3
尝试将其放在你的 .htaccess 上
#-防止代理访问
#
RewriteEngine 开启
RewriteCond %{HTTP:VIA} !^$ [或]
RewriteCond %{HTTP:FORWARDED} !^$ [或]
RewriteCond %{HTTP:USERAGENT_VIA} !^$ [或]
RewriteCond %{HTTP:X_FORWARDED_FOR} !^$ [或]
RewriteCond %{HTTP:PROXY_CONNECTION} !^$ [或]
RewriteCond %{HTTP:XPROXY_CONNECTION} !^$ [或]
RewriteCond %{HTTP:HTTP_PC_REMOTE_ADDR} !^$ [或]
重写条件 %{HTTP:HTTP_CLIENT_IP} !^$
重写规则 .* - [F]
#
您会注意到日志上的倒数第二行。
...732&pub_url=${PUB_URL} HTTP/1.0” 200 4497
变成
...732&pub_url=${PUB_URL} HTTP/1.0” 404 4497
答案4
这看起来不像是病毒,但实际上我们很难告诉你太多,因为我们不知道“正常”流量是什么样的...但无论哪种情况,如果你认为这是坏流量,那么你应该使用内置的 apache 机制来阻止它,或者总是有一个防火墙)
看看你被调用的脚本
http://ad.globe7.com/st
document.write("<span>Smart Tag Error: Malformed URL - ST_NO_AD_TYPE_GIVEN </span>");
http://ad.yieldmanager.com/imp?
// Invalid tag - code 1, Invalid size, entity=0
这是正常行为吗?这也是你的行为吗?