Затоплений wpad.dat

12

Отже, мій сервер apache був повільним, і я заглянув у файли журналів. Виявилося, що вони виросли до 12 ГБ доступу з тонн і тонн різних хостів, які намагалися отримати доступ до /wpad.dat на одному з моїх привидів.

Тепер віртуальний хост, про який йде мова, є vhost "catch-all", який викликається, коли браузер не надає відомого імені хоста.

Зараз я отримую тисячі запитів на хвилину до "/wpad.dat", і наскільки Google може мені сказати, це щось пов'язане з проксі-серверами? Але я не використовую проксі-сервери, тому чому мене буквально бомбардують ці запити.

Я отримую більше запитів за хвилину для цього неіснуючого файлу, ніж я отримую звичайні запити. Тож моє припущення полягає в тому, що я перебуваю під деякою формою нападу. Смішним є те, що воно, як правило, відбувається лише вночі (тут, у Швеції), а не вдень.

Розмір вибірки останніх 500 запитів (тобто півхвилини) показує, що він складається з 200 різних хостів, і невеликий зразок цих показує, що всі вони дійсні хости (а не проксі-сервери TOR), тому деякі DNS-сервери неправильно налаштовані ? Я запускаю DNS-сервер на машині.

Будь ласка, допоможіть! :)

EDIT Хост, до якого вони звертаються, - це "cluster.atlascms.se", тому те, що вони роблять, - це доступ до http://cluster.atlascms.se/wpad.dat тисячі разів на хвилину.

Тепер, cluster.atlascms.se - мій хост відмови DNS. Тому всі мої клієнти вказують свої субдомени на cluster.atlascms.se, що, у свою чергу, вказує їх на поточний IP (головний сервер сервера відмови).

Як здається - це означає, що я отримую багато тонн запитів до cluster.arlascms.se - це може означати, що мій DNS неправильно налаштований?

apache-2.2 domain-name-system wpad.dat

— Пісочниця
джерело

3

Ви знаєте, ви можете створити свій власний файл WPAD.DAT і по-справжньому розважитися з цими людьми. > усмішка <Серйозно, проте, хтось жахливо створив конфігурацію десь, якщо вони витягують WPAD.DAT з недовіреного джерела. Ви переспрямовуєте всі їхні веб-переглядачі до проксі-сервера, яким ви керуєте, і MiTM їх трафіку.

— Еван Андерсон

3

Я б дуже спокусився поставити wpad.datте, що просто вказує на місцевого господаря. Це повинно зламати достатньо речей, той, хто викликає проблему, може зайняти час для її усунення.

— Зоредаче

1

@Sandman - Для роботи у файлі WPAD.DAT повинен бути Javascript. Подивіться тут: en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol

— Еван Андерсон

1

До речі, для вас надзвичайно грубо виявити проблему, а потім спробувати скинути свій сміття на чужу галявину. Тому, будь ласка, не встановлюйте ваш wpad, щоб він вказував на когось інший системи.

— Зоредаче

1

Проблема з налаштуваннями DNS полягає в тому, що будь-який із ваших клієнтів, які використовують підстановку dns, щоб вказати всі свої піддомени на cluster.atlascms.se, за замовчуванням буде вказувати wpad.theirdomain.wever там також. Це означає, що якщо вони встановлять ім'я хоста на робочому столі на щось.тирдомейн. Що б там не було, він буде шукати wpad.theirdomain. що завгодно, отримуйте ваш IP-адресу і багаторазово запитуйте wpad.dat тисячі разів на день.

— Джастін Бусер

9

Здається, що у вашій зоні DNS eklundh.comвизначено запис підстановки, який вказує на cluster.atlascms.se. Це включає wpad.eklundh.com. Я пропоную вам додати запис DNS, чітко визначаючи wpad.eklundh.com. до 127.0.0.1чи чогось.

— Зоредаче
джерело

7

Я ненавиджу записи DNS-символів. У них ніколи не було нічого, крім неприємностей.

— Еван Андерсон

Гаразд, я тепер додав піддомен wpad до всіх моїх доменів у моєму DNS, які вказують на 127.0.0.1 - я повинен зачекати, щоб він розповсюдився і побачив, чи це усуне проблему.

— Сендман

Переглядаючи мої файли журналів, значна частина запитів спрямована не на піддомен wpad, а на IP або на cluster.atlascms.se ...

— Sandman

11

Машини шукатимуть файл WPAD.dat ієрархічно на основі власного FQDN, якщо вони налаштовані для автоматичного відкриття проксі. Отже, якщо Windows PC є членом домену cdecom, він шукатиме WPAD.dat у:

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

Ймовірно, що десь у когось є домен, який є піддоменом одного з тих, на яких ви розміщуєте HTTP, і не має належних налаштувань або відключення автоматичного відкриття проксі. Отже, вони, ймовірно, шукають ієрархічно.

Можливо, вірус, можливо, змусив їх це зробити; швидше за все, якщо машин, що роблять запит, надзвичайно багато і в різних підмережах, це те, що розроблено.

Якщо можливо, уникайте визначення запису DNS для піддомену wpad усього, що ви не збираєтесь використовувати для автоматичного виявлення проксі.

Якщо це не варіант, ви можете скористатися фільтруванням рівня 7 для пошуку запитів для wpad.dat та відхилення пакетів із повідомленням ICMP. Насправді це може бути найефективнішим способом зупинити трафік, якщо тільки IP-адреси не з однієї мережі та їх технічний контакт у когось не відповідає.

Речі, які вказуватимуть хост на певне місце для wpad.dat, включають налаштування домену, параметр доменного імені у відповідях DHCP та явне налаштування у веб-браузері для завантаження інформації про проксі з деякої URL-адреси.

— Сокіл Момот
джерело

У мене немає піддомену wpad, але у мене є субдомен підстановки. Я думаю, що винуватцем може бути мій домен atlascms.se (для якого мені не потрібен піддомен підстановки), який є доменом, який я використовую для своїх клієнтів для своїх записів CNAME. Я оновив свій DNS і мені доведеться почекати і подивитися, чи це виправляє речі.

— Сендман

Проблема полягає в тому, що всі ці сотні тисяч запитів, які я отримую від сотень і сотень різних хостів, не могли б усі думати, що atlascms.se, безумовно, є у своїй підмережі?

— Сендман

Це не має нічого спільного з підмережами; це все домени.

— Falcon Momot

Так, вибачте за термінологічну плутанину.

— Сендман

Цілком можливо, хтось намагається використовувати ваш домен для розміщення шкідливого wpad.dat (і не вдається). Там може бути вірус, який встановлює вашу URL-адресу як місце для отримання явного wpad.dat або іншим чином вказує на хостів, або там може бути неправильно налаштована мережа.

— Falcon Momot

4

Перше , що я хотів би зробити , це спробувати з'ясувати , де ці запити йдуть до , тобто їх призначення. Apache не записує ім'я хоста за замовчуванням, тому ви можете або скористатися tcpdumpдля отримання короткого захоплення та ознайомлення з ним щодо Host:заголовка запиту, або змінити формат журналу Apache для його входу. Я вважаю за краще записати його в інакше непридатне друге поле, наприклад:

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

Як тільки ви дізнаєтесь, до кого звертаються ці помилкові запити, що робити далі, може стати зрозумілим. Наприклад, може виявитись якась велика компанія, і example.seв цьому випадку ви можете знайти їх адміністраторів мережі і кричати на них.

— Майкл Хемптон
джерело

використовуючи статус сервера, я бачу, на якого хоста вони "атакують", і це навіть не налаштований vhost (через що він реєструється vhost-уловлювачем) - хост, до якого ВСЕ всі підключаються, є "atlas.eklundh. com "

— Sandman

Крім того, всі ці запити надходять від сотень і сотень різних хостів з усієї країни та з усіх спектрів провайдера ISP, це не з одного джерела або однієї неправильно налаштованої компанії. Мені цікаво, чи роблю я щось не так з моїм доменом eklundh.com, чий DNS-сервер я також запускаю на машині

— Sandman

"atlas.eklundh.com" підтримує той самий IP, що і "sandman.net".

— Еван Андерсон

1

Вам не потрібно налаштовувати системи на пошук wpad.dat. Вам потрібно лише мати дійсну DNS-запис, як-от wpad.eklundh.com(у вас є така запис) і комп'ютери з FQDN, встановленим на щось на зразок * .eklundh.com`, автоматично спробують зробити пошук WPAD.

— Зоредаче

1

Проблема стає тоді, що будь-який комп'ютер, який вважає, що він знаходиться у домені eklundh.com, побачить, що wpad.eklundh.com є дійсним, і спробує завантажити з нього конфігурацію проксі-сервера. Ви можете видалити запис DNS або налаштувати всі комп'ютери.

— Майкл Хемптон

0

Просто FYI, ModSecurityце схопить і заблокує. Існує набір правил, наданий Comodo. Ось запис у журналі. Я викреслив відповідні дані облікового запису, щоб вони були в ньому просто так, щоб використовувати їх як приклад.

Apache-Error: [файл ""] [] [] [клієнт xxx.xxx.xxx.xxx] ModSecurity: Доступ відмовлено з кодом 403 (фаза 2). Відповідна фраза ".dat /" у TX: розширення. [file ""] ["] [id" 210730 "] [rev" 2 "] [msg" COMODO WAF: Розширення файлу URL-адреси обмежено політикою "] [data" .dat "] [строгість" CRITICAL "] [ім'я хоста "видалено"] [uri "/wpad.dat"] [унікальний_id "WjFa06qDOW3DDPRieFmICgAAAEg"]

— islandnet.com Веб-хостинг
джерело

-1

Виникла ця проблема та її виправили, створивши файл wpad.dat, помістивши в неї сторінку "ця сторінка залишилася порожньою".

Процесор вийшов майже до нуля. Проблема здається вирішеною.

— Брайан Толман
джерело

синтаксично неправильна відповідь, але код відповіді на успіх для URI, який ви явно НЕ збираєтесь обслуговувати, просто неправильно.

— anx

Але це вирішило симптом. У цьому випадку це зменшило завантаження сервера, знову запустило сайт і дало мені час переробити A-Records, де жила реальна проблема.

— Брайан Толман