Zalane przez wpad.dat

12

Tak więc mój serwer Apache działał powoli i zajrzałem do plików dziennika. Okazało się, że urosły one do 12 GB dostępu z ton i ton różnych hostów próbujących uzyskać dostęp do /wpad.dat na jednym z moich Vhostów.

Wirtualny host, o którym mowa, to vhost typu „catch-all”, który jest wywoływany, gdy przeglądarka nie podaje znanej nazwy hosta.

Obecnie otrzymuję tysiące próśb na minutę do „/wpad.dat” i, o ile Google może mi powiedzieć, jest to coś, co ma coś wspólnego z serwerami proxy? Ale nie używam serwerów proxy, więc dlaczego dosłownie bombardują mnie te żądania.

Otrzymuję więcej żądań na minutę dla tego nieistniejącego pliku niż normalne żądania. Więc zakładam, że jestem pod jakąś formą ataku. Zabawne jest to, że na ogół dzieje się to tylko w nocy (tutaj w Szwecji), a nie w ciągu dnia.

Przykładowa wielkość ostatnich 500 żądań (tj. Pół minuty) pokazuje, że składa się ona z 200 różnych hostów, a mała próbka tych pokazuje, że wszystkie są prawidłowymi hostami (nie serwerami proxy TOR), więc niektóre serwery DNS są niepoprawnie skonfigurowane ? Na komputerze uruchamiam serwer DNS.

Proszę pomóż! :)

EDYCJA Host, do którego uzyskują dostęp, to „klaster.atlascms.se”, więc robią dostęp do http://cluster.atlascms.se/wpad.dat tysiące razy na minutę.

Teraz klaster.atlascms.se jest moim hostem przełączania awaryjnego DNS. Wszyscy moi klienci wskazują więc swoje poddomeny na klaster.atlascms.se, co z kolei wskazuje bieżący adres IP (serwer główny serwera przełączania awaryjnego).

Jak się wydaje - oznacza to, że otrzymuję mnóstwo zapytań do cluster.arlascms.se - czy może to oznaczać, że mój DNS jest źle skonfigurowany?

apache-2.2 domain-name-system wpad.dat piaskowy człowiek
źródło
3
Wiesz, możesz założyć własny plik WPAD.DAT i naprawdę dobrze się bawić z tymi ludźmi. > uśmiech <Poważnie, jednak ktoś okropnie skonfigurował konfigurację, jeśli pobiera WPAD.DAT z niezaufanego źródła. Przekierowujesz wszystkie ich przeglądarki na kontrolowane przez ciebie proxy i MiTM ich ruch.
Evan Anderson
3
Bardzo bym się pokusił, aby postawić taki, wpad.datktóry po prostu wskazuje lokalnego gospodarza. To powinno zepsuć wszystko, kto powoduje problem, może zająć trochę czasu, aby go naprawić.
Zoredache
1
@ Sandman - plik WPAD.DAT musi mieć JavaScript do działania. Zajrzyj tutaj: en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Evan Anderson
1
BTW, odkrywanie problemu jest wyjątkowo niegrzeczne, a następnie zrzucanie śmieci na czyjś trawnik. Więc proszę nie ustawiać swojego wpadu tak, aby wskazywał na inne systemy.
Zoredache
1
Problem z konfiguracją DNS polega na tym, że każdy z klientów, którzy używają wieloznacznego wpisu dns, aby skierować wszystkie swoje subdomeny na klaster.atlascms.se, domyślnie będzie wskazywać na wpad.theirdomain.cokolwiek tam również. Co oznacza, że ​​jeśli ustawią nazwę hosta na pulpicie na coś. Domenę. Cokolwiek, wtedy będzie szukać wpad.theirdomain. Gdziekolwiek, zdobądź swój adres IP i wielokrotnie żądaj wpad.dat tysiące razy dziennie.
Justin Buser,

Odpowiedzi:

9

Wygląda na to, że twoja strefa DNS eklundh.comma zdefiniowany rekord wieloznaczny wskazujący na cluster.atlascms.se. To obejmuje wpad.eklundh.com. Sugeruję dodanie rekordu DNS wyraźnie definiującego wpad.eklundh.com. do 127.0.0.1czy coś.

Zoredache
źródło
7
Nienawidzę wieloznacznych rekordów DNS. Nigdy nie byli niczym innym jak kłopotami.
Evan Anderson
Ok, dodałem teraz poddomenę wpad do wszystkich moich domen w DNS, które wskazują na 127.0.0.1 - muszę poczekać, aż się rozprzestrzeni i zobaczę, czy to rozwiąże problem.
Sandman
Przeglądając moje pliki dziennika, większość próśb nie jest kierowana do subdomeny wpad, ale do adresu IP lub do klaster.atlascms.se ...
Sandman
11

Komputery będą szukały pliku WPAD.dat hierarchicznie na podstawie własnej nazwy FQDN, jeśli są skonfigurowane do automatycznego wykrywania serwera proxy. Jeśli więc komputer z systemem Windows jest członkiem domeny cdecom, poszuka WPAD.dat w:

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

Są szanse, że gdzieś ktoś ma domenę, która jest poddomeną jednej z tych, na których hostujesz HTTP, i nie skonfigurował poprawnie lub nie wyłączył automatycznego wykrywania proxy. W rezultacie prawdopodobnie szukają hierarchicznie.

Możliwe, że spowodował to wirus; prawdopodobnie, jeśli maszyny wykonujące zapytanie są bardzo liczne i znajdują się w różnych podsieciach, właśnie o to chodzi.

Jeśli to możliwe, unikaj definiowania rekordu DNS dla subdomeny wpad wszystkiego, czego nie zamierzasz używać do automatycznego wykrywania proxy.

Jeśli nie jest to opcja, możesz rozważyć zastosowanie filtrowania w warstwie 7, aby znaleźć zapytania dla wpad.dat i odrzucić pakiety z komunikatem ICMP. To może być najskuteczniejszy sposób na zatrzymanie ruchu, chyba że wszystkie adresy IP pochodzą z tej samej sieci, a ich kontakt techniczny w whois reaguje.

Do rzeczy, które będą wskazywać host w konkretnej lokalizacji dla wpad.dat, należą ustawienia domeny, opcja nazwy domeny w odpowiedziach DHCP oraz jawne ustawienie w przeglądarce internetowej, aby ładować informacje proxy z jakiegoś adresu URL.

Falcon Momot
źródło
Nie mam subdomeny wpad, ale mam subdomenę z symbolami wieloznacznymi. Wydaje mi się, że winowajcą może być moja domena atlascms.se (do której nie potrzebuję subdomeny z symbolami wieloznacznymi), która jest domeną, której używam dla moich klientów dla ich rekordów CNAME. Zaktualizowałem swój DNS i będę musiał poczekać i zobaczyć, czy to rozwiązuje problem.
Sandman
Problem polega na tym, że wszystkie te setki tysięcy próśb, które otrzymuję od setek i setek różnych hostów, nie mogły wszyscy myśleć, że atlascms.se jest z pewnością w ich własnej podsieci?
Sandman
Nie ma to nic wspólnego z podsieciami; to wszystkie domeny.
Falcon Momot
Tak, przepraszam za zamieszanie terminologiczne.
Sandman
Jest całkiem możliwe, że ktoś próbuje użyć Twojej domeny do hostowania złośliwego wpad.dat (i kończy się niepowodzeniem). Może istnieć wirus, który ustawia adres URL jako miejsce, w którym można jawnie dostać się do wpad.dat, lub w inny sposób wskazuje tam hosty, lub może istnieć źle skonfigurowana sieć.
Falcon Momot
4

Pierwszą rzeczą, którą chciałbym zrobić, to spróbować, aby dowiedzieć się, gdzie te wnioski idą do , czyli ich przeznaczenia. Apache domyślnie nie rejestruje nazwy hosta, więc możesz użyć jej tcpdumpdo przechwycenia krótkiego przechwytywania i sprawdzenia go pod kątem Host:nagłówka żądania lub zmienić format dziennika Apache, aby go zarejestrować. Wolę zalogować się w drugim bezużytecznym drugim polu, na przykład:

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

Gdy dowiesz się, do kogo kierowane są te błędne prośby, dalsze działania mogą stać się jasne. Na przykład może się okazać, że jest to duża firma, example.sew którym to przypadku możesz znaleźć ich administratorów sieci i krzyczeć na nich.

Michael Hampton
źródło
używając statusu serwera widzę hosta, który „atakują”, i nie jest to nawet skonfigurowany vhost (dlatego jest rejestrowany przez vhost typu catch-all) - host, do którego wszyscy się łączą, to „atlas.eklundh. com ”
Sandman
Ponadto wszystkie te żądania pochodzą od setek różnych hostów z całego kraju i całego spektrum ISP, nie pochodzi to od jednego źródła ani od jednej źle skonfigurowanej firmy. Zastanawiam się, czy robię coś nie tak z moją domeną eklundh.com, której serwer DNS również uruchamiam na komputerze
Sandman
„atlas.eklundh.com” odnosi się do tego samego adresu IP co „sandman.net”.
Evan Anderson
1
Naprawdę nie trzeba konfigurować systemów, aby szukać wpad.dat. Musisz tylko mieć prawidłowy rekord DNS, taki jak wpad.eklundh.com(masz ten rekord), a komputery z FQDN ustawioną na coś takiego jak * .eklundh.com` automatycznie spróbują przeprowadzić wyszukiwanie WPAD.
Zoredache
1
Problem polega na tym, że każdy komputer, który myśli, że jest w domenie eklundh.com, zobaczy, że wpad.eklundh.com jest prawidłowy, i spróbuje pobrać z niego konfigurację serwera proxy. Możesz usunąć rekord DNS lub ponownie skonfigurować wszystkie komputery.
Michael Hampton
0

Tylko FYI, ModSecurityzłapie to i zablokuje. Comodo udostępnia zestaw reguł. Oto wpis w dzienniku. Usunąłem odpowiednie dane z konta, aby zawierały je tylko dla przykładu.

Błąd Apache: [plik ””] [] [] [klient xxx.xxx.xxx.xxx] ModSecurity: Odmowa dostępu z kodem 403 (faza 2). Dopasowane wyrażenie „.dat /” w TX: rozszerzenie. [plik ”„] [”] [id” 210730 ”] [rev” 2 ”] [msg” COMODO WAF: rozszerzenie pliku URL jest ograniczone przez zasady ”] [data” .dat ”] [dotkliwość„ KRYTYCZNA ”] [nazwa hosta „usunięto”] [uri ”/wpad.dat”] [unikalny_id ”WjFa06qDOW3DDPRieFmICgAAAEg”]

islandnet.com Web Hosting
źródło
-1

Miałem ten problem i naprawiłem go, tworząc plik wpad.dat, umieszczając w nim stronę „ta strona pozostawiła pustą”.

Procesor spadł prawie do zera. Problem wydaje się rozwiązany.

Brian Tolman
źródło
błędna składniowo odpowiedź, ale kod odpowiedzi powodzenia dla identyfikatora URI, którego wyraźnie NIE zamierzasz podawać, jest po prostu zły.
anx
Ale to rozwiązało symptom. W tym przypadku zmniejszyło obciążenie serwera, uruchomiło witrynę ponownie i dało mi czas na ponowne wykonanie A-Records, w których żył prawdziwy problem.
Brian Tolman,