Re: Apache2 er gået amok

[Lars Erik Dangvard Jensen <lars@dangvard.dk>]

Flemming Bjerke skrev:

> Hmmm. Hvad gør jeg så? Selvom du har ret i at de linier jeg kopierede ikke 
> siger noget om apache proxy funktion, er det nu alligevel det de er udtryk 
> for. Tag nu f.eks. :
>
> 69.31.45.251 - - [25/Aug/2006:18:20:48 +0200] "GET 
> http://wendie.net/stories.php?story=04/10/23/2475116 HTTP/1.0" 404 
> 1025 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 
> 1.1.4322)"
>
> Det kan godt være den ikke siger noget om proxy, men ikke desto mindre 
> forsvinder traffikken når jeg slukker for apache (e.lign.). Og netop log 
> linier er de eneste der kommer væltende i access.log. Jeg ville gerne komme 
> med en ikke 404 linie, men det kan jeg ikke, bortfra der også er andre fejl 
> såsom 500. Derfor er jeg ret overbevist om at de dækker over nogle skumle 
> processer.
>
> Hvad gør jeg nu?
>
> Flemming

Det lugter lidt som noget sporadisk ddos-angreb, ved du om der har kørt 
noget på den IP-adresse før du fik den eller hoster du jp.dk? ;)

Ellers installér mod_security og log samtlige requests i en lille 
periode, men pas på, det fylder godt :) Det vil gi' en indikation af 
hvad der foregår helt præcist.

Jeg har oplevet noget, der ligner din situation meget, men der blev jeg 
nødt til at samle alle de IP-adresser, der requester forkerte 
webadresser og indlæse disse IP-adresser i firewall'en og droppe disse 
connections. Det var før jeg fandt ud af, at mod_security kan vilde tricks.

Lars