Bị ngập bởi wpad.dat

12

Vì vậy, máy chủ apache của tôi rất chậm và tôi đã xem các tệp nhật ký. Hóa ra họ đã tăng lên 12GB lượt truy cập từ hàng tấn máy chủ khác nhau đang cố truy cập /wpad.dat trên một trong những Vhost của tôi.

Bây giờ, máy chủ ảo được đề cập là vhost "bắt tất cả" được gọi khi trình duyệt không cung cấp tên máy chủ đã biết.

Tôi hiện đang nhận được hàng ngàn yêu cầu mỗi phút cho "/wpad.dat" và theo như Google có thể cho tôi biết, đây có phải là điều gì đó có liên quan đến máy chủ proxy không? Nhưng tôi không sử dụng máy chủ proxy, vậy tại sao tôi lại bị bắn phá bởi những yêu cầu này.

Tôi nhận được nhiều yêu cầu hơn mỗi phút cho tệp không tồn tại này hơn là tôi nhận được yêu cầu bình thường. Vì vậy, giả định của tôi là tôi đang bị tấn công. Điều buồn cười là nó thường chỉ xảy ra vào ban đêm (ở đây là Thụy Điển) chứ không phải vào ban ngày.

Kích thước mẫu của 500 yêu cầu mới nhất (tức là nửa phút) cho thấy rằng nó bao gồm 200 máy chủ khác nhau và một mẫu nhỏ trong số đó cho thấy tất cả chúng đều là máy chủ hợp lệ (không phải proxy TOR) nên một số máy chủ DNS được định cấu hình không chính xác ? Tôi chạy một máy chủ DNS trên máy.

Xin vui lòng giúp đỡ! :)

EDIT Máy chủ mà họ đang truy cập là "cluster.atlascms.se" vì vậy những gì họ làm là truy cập http://cluster.atlascms.se/wpad.dat hàng nghìn lần mỗi phút.

Bây giờ, cluster.atlascms.se là máy chủ chuyển đổi dự phòng DNS của tôi. Vì vậy, tất cả các máy khách của tôi trỏ tên miền phụ của chúng vào cluster.atlascms.se, lần lượt chúng trỏ đến IP hiện tại (máy chủ chính của máy chủ chuyển đổi dự phòng).

Có vẻ như - điều này có nghĩa là tôi đang nhận được rất nhiều yêu cầu tới cluster.arlascms.se - điều đó có nghĩa là DNS của tôi bị định cấu hình sai?

apache-2.2  domain-name-system  wpad.dat 
Người cát
nguồn
3
Bạn biết đấy, bạn có thể đưa lên tệp WPAD.DAT của riêng mình và thực sự vui vẻ với những người này. > mỉm cười <Tuy nhiên, nghiêm túc, ai đó đã tạo ra một cấu hình ở đâu đó khủng khiếp nếu họ đang kéo WPAD.DAT từ một nguồn không đáng tin cậy. Bạn chuyển hướng tất cả các trình duyệt của họ đến proxy mà bạn kiểm soát và MiTM lưu lượng truy cập của họ.
Evan Anderson
3
Tôi rất muốn được đưa ra một wpad.datchỉ đơn giản là chỉ ra máy chủ lưu trữ địa phương. Điều đó sẽ phá vỡ mọi thứ đủ bất cứ ai gây ra vấn đề có thể mất thời gian để khắc phục nó.
Zoredache
1
@Sandman - Tệp WPAD.DAT cần phải là Javascript để hoạt động. Hãy xem tại đây: vi.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Evan Anderson
1
BTW, thật vô cùng thô lỗ khi bạn phát hiện ra một vấn đề, và sau đó cố gắng đổ rác của bạn lên bãi cỏ của người khác. Vì vậy, vui lòng không đặt wpad của bạn để trỏ đến hệ thống của ai đó.
Zoredache
1
Vấn đề với thiết lập DNS của bạn là bất kỳ ứng dụng khách nào sử dụng mục nhập dns ký tự đại diện để trỏ tất cả các tên miền phụ của chúng sang cluster.atlascms.se theo mặc định cũng sẽ trỏ wpad.theirdomain.whthing. Điều đó có nghĩa là nếu họ đặt tên máy tính để bàn của họ thành một cái gì đó.theirdomain.whwh thì nó sẽ tra cứu wpad.theirdomain.whthing, nhận IP của bạn và liên tục yêu cầu wpad.dat hàng ngàn lần một ngày.
Justin Buser

Câu trả lời:

9

Dường như vùng DNS của bạn eklundh.comcó bản ghi ký tự đại diện được xác định trỏ đến cluster.atlascms.se. Điều này bao gồm wpad.eklundh.com. Tôi đề nghị bạn thêm một bản ghi DNS xác định rõ ràng wpad.eklundh.com. đến 127.0.0.1hoặc một cái gì đó.

Zoredache
nguồn
7
Tôi ghét hồ sơ DNS ký tự đại diện. Họ chưa bao giờ là bất cứ điều gì ngoài rắc rối.
Evan Anderson
Ok, bây giờ tôi đã thêm một tên miền phụ wpad vào tất cả các tên miền trong DNS của mình, tất cả đều trỏ đến 127.0.0.1 - Tôi phải chờ để xem nó lan truyền và xem điều này có khắc phục được sự cố không.
Sandman
Nhìn vào tệp nhật ký của tôi, phần lớn các yêu cầu không hướng đến tên miền phụ wpad, mà đến IP hoặc cluster.atlascms.se ...
Sandman
11

Các máy sẽ tìm kiếm tệp WPAD.dat theo phân cấp dựa trên FQDN của riêng chúng, nếu chúng được cấu hình để tự động phát hiện proxy. Vì vậy, nếu một PC Windows là thành viên của một cdecom miền, nó sẽ tìm WPAD.dat trong:

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

Có thể ở đâu đó, ai đó có một tên miền là một tên miền phụ của một trong những tên miền bạn đang lưu trữ HTTP và không được tự động định cấu hình hoặc tự động phát hiện proxy bị vô hiệu hóa. Kết quả là, họ có khả năng tìm kiếm theo thứ bậc.

Có khả năng virus có thể khiến chúng làm điều này; có khả năng, nếu các máy thực hiện truy vấn là vô cùng nhiều và trong các mạng con khác nhau, thì đây là những gì đang xảy ra.

Nếu có thể, tránh xác định bản ghi DNS cho tên miền phụ wpad của bất kỳ thứ gì bạn không định sử dụng để tự động phát hiện proxy.

Nếu đây không phải là một tùy chọn, bạn có thể cân nhắc sử dụng tính năng lọc lớp 7 để tìm các truy vấn cho wpad.dat và từ chối các gói với thông báo ICMP. Đây thực sự có thể là cách hiệu quả nhất để ngăn chặn lưu lượng, trừ khi tất cả các IP đều từ cùng một mạng và liên hệ kỹ thuật của chúng trong whois là phản hồi.

Những thứ sẽ trỏ máy chủ tại một vị trí cụ thể cho wpad.dat bao gồm cài đặt tên miền, tùy chọn tên miền trong trả lời DHCP và cài đặt rõ ràng trong trình duyệt web để tải thông tin proxy từ một số URL.

Chim ưng
nguồn
Tôi không có tên miền phụ wpad, nhưng tôi có tên miền phụ ký tự đại diện. Tôi nghĩ thủ phạm có thể là tên miền atlascms.se của tôi (mà tôi không cần tên miền phụ ký tự đại diện) là tên miền tôi sử dụng cho khách hàng của mình cho các bản ghi CNAME của họ. Tôi đã cập nhật DNS của mình và tôi sẽ phải chờ xem liệu điều này có khắc phục được không.
Sandman
Vấn đề là tất cả hàng trăm ngàn yêu cầu tôi nhận được từ hàng trăm và hàng trăm máy chủ khác nhau không thể nghĩ rằng atlascms.se nằm trong mạng con của họ, chắc chắn?
Sandman
Nó không có gì để làm với mạng con; đó là tất cả các lĩnh vực.
Falcon Momot
Vâng, xin lỗi vì sự nhầm lẫn thuật ngữ.
Sandman
Hoàn toàn có khả năng ai đó đang cố sử dụng tên miền của bạn để lưu trữ wpad.dat độc hại (và không thành công). Có thể có một vi-rút ngoài đó đặt URL của bạn làm nơi nhận wpad.dat từ một cách rõ ràng hoặc chỉ ra các máy chủ lưu trữ ở đó hoặc có thể có một mạng được định cấu hình sai ở đó.
Falcon Momot
4

Điều đầu tiên tôi sẽ làm là cố gắng tìm ra nơi những yêu cầu này sẽ đến , tức là đích đến của chúng. Apache không đăng nhập tên máy chủ theo mặc định, vì vậy bạn có thể sử dụng tcpdumpđể có được một bản chụp ngắn và kiểm tra nó cho Host:tiêu đề yêu cầu hoặc thay đổi định dạng nhật ký Apache của bạn để ghi nhật ký. Tôi thích đăng nhập nó trong trường thứ hai vô dụng, ví dụ:

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

Một khi bạn biết những yêu cầu sai lầm này đang được gửi đến ai, phải làm gì tiếp theo có thể trở nên rõ ràng. Ví dụ, nó có thể trở thành một công ty lớn example.setrong trường hợp bạn có thể tìm quản trị viên mạng của họ và la mắng họ.

Michael Hampton
nguồn
sử dụng trạng thái máy chủ, tôi thấy máy chủ họ đang "tấn công" và thậm chí nó không phải là một vhost được cấu hình (đó là lý do tại sao nó được ghi lại bởi vhost bắt tất cả) - máy chủ mà TẤT CẢ họ đang kết nối là "atlas.eklundh. com "
Sandman
Ngoài ra, tất cả các yêu cầu này đến từ hàng trăm và hàng trăm máy chủ khác nhau từ khắp cả nước và trên toàn bộ ISP, điều này không đến từ một nguồn hoặc một công ty bị định cấu hình sai. Tôi tự hỏi liệu tôi có làm gì sai với tên miền eklundh.com của tôi ở đây không, máy chủ DNS mà tôi cũng chạy trên máy
Sandman
"atlas.eklundh.com" phân giải thành IP giống như "sandman.net".
Evan Anderson
1
Bạn không thực sự cần phải cấu hình các hệ thống để tìm kiếm wpad.dat. Bạn chỉ cần có một bản ghi DNS hợp lệ như wpad.eklundh.com(bạn có bản ghi đó) và các máy tính có FQDN được đặt thành một cái gì đó như * .eklundh.com` sẽ tự động thử thực hiện tra cứu WPAD.
Zoredache
1
Vấn đề sau đó là bất kỳ máy tính nào nghĩ rằng nó trong miền eklundh.com sẽ thấy rằng wpad.eklundh.com là hợp lệ và cố gắng tải xuống cấu hình máy chủ proxy từ nó. Bạn có thể xóa bản ghi DNS hoặc cấu hình lại tất cả các máy tính.
Michael Hampton
0

Chỉ cần FYI, ModSecuritysẽ nắm bắt điều này và chặn nó. Có một quy tắc được cung cấp bởi Comodo. Đây là một mục nhật ký. Tôi đã loại bỏ dữ liệu có liên quan đến tài khoản để sử dụng nó làm ví dụ.

Lỗi Apache: [file ""] [] [] [client xxx.xxx.xxx.xxx] ModSecurity: Truy cập bị từ chối với mã 403 (giai đoạn 2). Kết hợp cụm từ ".dat /" tại TX: phần mở rộng. . "đã xóa"] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]

Islandnet.com Web Hosting
nguồn
-1

Có vấn đề này và đã khắc phục nó bằng cách tạo tệp wpad.dat đặt trang "trang này để trống" trong đó.

CPU đã gần như bằng không. Vấn đề dường như đã được giải quyết.

Brian Tolman
nguồn
một phản hồi sai về mặt cú pháp, nhưng mã phản hồi thành công cho một URI mà bạn rõ ràng KHÔNG có ý định phục vụ là sai.
lắng
Nhưng nó đã giải quyết được triệu chứng. Trong trường hợp này, nó đã giảm tải máy chủ, chạy lại trang web và cho tôi thời gian để làm lại Bản ghi A nơi xảy ra sự cố thực sự.
Brian Tolman
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.