Wpad.dat tarafından sular altında kalmak

12

Apache sunucum yavaştı ve günlük dosyalarına baktım. Vhosts'umdan birinde /wpad.dat'a erişmeye çalışan ton ve tonlarca farklı ana bilgisayardan 12GB erişim elde ettikleri ortaya çıktı.

Şimdi, söz konusu sanal ana bilgisayar, bir tarayıcı bilinen bir ana bilgisayar adı sağlamadığında çağrılan "tümünü yakala" hayaletidir.

Şu anda "/wpad.dat" için dakikada binlerce istek alıyorum ve Google bana söyleyebildiği gibi, bu proxy sunucuları ile ilgili bir şey var mı? Ama proxy sunucuları kullanmıyorum, neden bu isteklerle tam anlamıyla bombalanıyorum.

Bu var olmayan dosya için dakika başına daha fazla istek alıyorum, normal istekleri alıyorum. Benim varsayım, bir çeşit saldırı altında olduğumdur. Komik olan şey, genellikle sadece geceleri (burada İsveç'te) gerçekleşir, gündüz değil.

En son 500 isteğin örnek boyutu (yani yarım dakika), 200 farklı ana bilgisayardan oluştuğunu gösterir ve bunlardan küçük bir örnek, bunların hepsinin geçerli ana bilgisayar (TOR proxy'si değil) olduğunu gösterir, bu nedenle bu bazı DNS sunucuları yanlış yapılandırılmıştır ? Makinede bir DNS sunucusu çalıştırıyorum.

Lütfen yardım et! :)

DÜZENLEME Eriştikleri ana bilgisayar "cluster.atlascms.se" olduğundan, yaptıkları şey http://cluster.atlascms.se/wpad.dat dakikada binlerce kez erişilir .

Şimdi, cluster.atlascms.se DNS yük devretme ana bilgisayarım. Böylece tüm müşterilerim alt alanlarını cluster.atlascms.se'ye yönlendirir ve bu da onları geçerli IP'ye (yük devretme sunucusunun ana sunucusu) yönlendirir.

Göründüğü gibi - bu, cluster.arlascms.se'ye tonlarca ton talep aldığım anlamına gelir - bu, DNS'imin yanlış yapılandırıldığı anlamına gelebilir mi?

apache-2.2  domain-name-system  wpad.dat 
uyku perisi
kaynak
3
Kendi WPAD.DAT dosyanızı kurabilir ve bu insanlarla gerçekten eğlenebilirsiniz. > smile <Yine de, birileri WPAD.DAT'ı güvenilmeyen bir kaynaktan alıyorlarsa, birisi korkunç bir yerde bir yapılandırma yapılandırdı. Tüm tarayıcılarını kontrol ettiğiniz bir proxy'ye ve MiTM trafiğine yönlendirirsiniz.
Evan Anderson
3
Kesinlikle bir koymak için cazip olurdu wpad.datsadece yerel ana Puan. Bu, soruna neden olan her şeyi yeterince çözmeli ve sorunu düzeltmek zaman alabilir.
Zoredache
1
@Sandman - WPAD.DAT dosyasının çalışması için Javascript olması gerekiyor. Buraya bir göz atın: en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Evan Anderson
1
BTW, bir problemi keşfetmeniz ve ardından çöplerinizi başka birinin çimine dökmeniz son derece kaba. Bu yüzden lütfen wpad'inizi başkalarının sistemlerini işaret edecek şekilde ayarlamayın.
Zoredache
1
DNS kurulumunuzla ilgili sorun, tüm alt alanlarını cluster.atlascms.se'ye yönlendirmek için joker karakterli dns girdisi kullanan istemcilerinizin varsayılan olarak wpad.theirdomain.whatever'ı da işaret etmesidir. Bu, masaüstü ana bilgisayar adlarını bir şeye ayarladıysa, wpad.theirdomain.whatever, IP'nizi alın ve günde binlerce kez wpad.dat isteyin.
Justin Buser

Yanıtlar:

9

DNS bölge görünür eklundh.comişaret tanımlanmış bir joker kaydı var cluster.atlascms.se. Bu içermektedir wpad.eklundh.com. Açıkça tanımlayan bir DNS kaydı eklemenizi öneririm wpad.eklundh.com. için 127.0.0.1falan.

Zoredache
kaynak
7
Joker karakter DNS kayıtlarından nefret ediyorum. Asla beladan başka bir şey olmadılar.
Evan Anderson
Tamam, şimdi DNS'imdeki tüm etki alanlarıma 127.0.0.1'i işaret eden bir wpad alt etki alanı ekledim - Yayılmasını görmek ve bunun sorunu çözüp çözmediğini görmek için beklemek zorundayım.
Sandman
Günlük dosyalarıma baktığımızda, isteklerin büyük bir kısmı bir wpad alt alanına değil, IP'ye veya cluster.atlascms.se'ye yönlendiriliyor ...
Sandman
11

Makineler, proxy otomatik bulma için yapılandırılmışsa, kendi FQDN'lerine göre hiyerarşik olarak bir WPAD.dat dosyası arayacaktır. Yani, bir Windows PC bir etki alanı cdecom üyesi ise, WPAD.dat içinde arayacaktır:

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

Muhtemelen bir yerde, birisinin HTTP'yi barındırdığınız alanlardan birinin alt etki alanı olan ve proxy otomatik keşfini düzgün yapılandırmamış veya devre dışı bırakmamış bir alanı vardır. Sonuç olarak, muhtemelen hiyerarşik olarak arama yapıyorlar.

Bir virüsün bunu yapmalarına neden olmuş olabilir; muhtemelen, sorguyu yapan makineler son derece sayısız ve çeşitli alt ağlarda ise, sorun budur.

Mümkünse, proxy otomatik bulma için kullanmak istemediğiniz herhangi bir şeyin wpad alt etki alanı için bir DNS kaydı tanımlamaktan kaçının.

Bu bir seçenek değilse, wpad.dat sorgularını bulmak ve paketleri bir ICMP iletisiyle reddetmek için katman 7 filtrelemeyi kullanmayı düşünebilirsiniz. IP'lerin hepsi aynı ağdan olmadığı ve whois'e yanıt vermedeki teknik iletişimi olmadığı sürece, bu aslında trafiği durdurmanın en etkili yolu olabilir.

Bir ana bilgisayarı wpad.dat için belirli bir konuma işaret edecek şeyler arasında alan adı ayarları, DHCP yanıtlarındaki alan adı seçeneği ve bazı URL'lerden proxy bilgilerini yüklemek için web tarayıcısında açık bir ayar bulunur.

Şahin Momot
kaynak
Bir wpad alt etki alanım yok, ancak bir joker alt etki alanım var. Sanırım suçlu benim CNM kayıtları için müşterilerim için kullandığım etki alanı olan (bunun için bir joker alt alan adı gerekmez) benim atlascms.se etki alanı olabilir. DNS'mi güncelledim ve bunun düzeltilmesi gerekip gerekmediğini görmek zorundayım.
Sandman
Sorun şu ki, yüzlerce ve yüzlerce farklı ana bilgisayardan aldığım bu yüz binlerce istek, muhtemelen atlascms.se'nin kendi alt ağında olduğunu düşünemiyor olabilir mi?
Sandman
Alt ağlarla hiçbir ilgisi yoktur; hepsi alan adları.
Falcon Momot
Evet, terminoloji karışıklığı için özür dilerim.
Sandman
Birisi kötü amaçlı bir wpad.dat barındırmak (ve başarısız) barındırmak için çalışıyor olabilir tamamen mümkündür. URL'nizi wpad.dat dosyasını açık bir şekilde almak için bir yer olarak ayarlayan bir virüs olabilir veya ana bilgisayarları orada işaret edebilir veya orada yanlış yapılandırılmış bir ağ olabilir.
Falcon Momot
4

Yapacağım ilk şey bu istekleri gidiyor nerede olduğunu öğrenmek için çalışmaktır için , yani hedeflerine. Apache, ana makine adını varsayılan olarak günlüğe tcpdumpkaydetmez , bu nedenle kısa bir yakalama için kullanabilir ve Host:istek başlığı için inceleyebilir veya günlüğe kaydetmek için Apache günlük biçiminizi değiştirebilirsiniz. Aksi takdirde işe yaramaz ikinci alanda oturum açmayı tercih ederim, örneğin:

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

Bu hatalı isteklerin kime gönderildiğini öğrendikten sonra, daha sonra ne yapılacağı netleşebilir. Örneğin, büyük bir şirket olabilir example.se, bu durumda ağ yöneticilerini bulabilir ve onlara bağırabilirsiniz.

Michael Hampton
kaynak
sunucu durumunu kullanarak, onlar "saldırıyor" ana bilgisayar görüyorum ve hatta yapılandırılmış bir vhost (bu yüzden tüm catch-all vhost tarafından günlüğe kaydedilir) - TÜM bağlandıkları ana "atlas.eklundh olduğunu. com "
Sandman
Ve ayrıca, tüm bu talepler ülkenin dört bir yanından ve ISS spektrumlarının tamamından yüzlerce ve farklı ana bilgisayarlardan geliyor, bu bir kaynaktan veya yanlış yapılandırılmış bir şirketten gelmiyor. DNS sunucusunu makinede de çalıştırdığım eklundh.com alan adımla ilgili yanlış bir şey yapıp yapmadığımı merak ediyorum
Sandman
"atlas.eklundh.com", "sandman.net" ile aynı IP'ye gider.
Evan Anderson
1
Sistemleri bir wpad.dat dosyasını arayacak şekilde yapılandırmanız gerekmez. Sadece geçerli bir DNS kaydına wpad.eklundh.comsahip olmalısınız (bu kayda sahipsiniz) ve * .eklundh.com` gibi bir FQDN'ye sahip bilgisayarlar otomatik olarak WPAD araması yapmaya çalışacaktır.
Zoredache
1
Sorun daha sonra eklundh.com etki alanında olduğunu düşünen herhangi bir bilgisayarın wpad.eklundh.com'un geçerli olduğunu görmesini ve bir proxy sunucu yapılandırmasını ondan indirmeyi denemesini sağlar. DNS kaydını kaldırabilir veya tüm bilgisayarları yeniden yapılandırabilirsiniz.
Michael Hampton
0

Sadece FYI, ModSecuritybunu yakalayacak ve engelleyecek. Comodo tarafından sağlanan bir kural kümesi vardır. İşte bir günlük girişi. Hesapla ilgili verileri elimden aldım, bu yüzden örnek olarak kullanmak için içinde var.

Apache Hatası: [file ""] [] [] [istemci xxx.xxx.xxx.xxx] ModSecurity: Erişim 403 koduyla (aşama 2) reddedildi. TX: ".dat /" ile eşleşen ifade: uzantı. [dosya ""] ["] [id" 210730 "] [rev" 2 "] [msg" COMODO WAF: URL dosya uzantısı politika "] tarafından kısıtlandı [veri" .dat "] [önem derecesi" CRITICAL "] [ana makine adı "kaldırıldı"] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]

islandnet.com Web Hosting
kaynak
-1

Bu sorun vardı ve içinde "bu sayfa boş bırakıldı" sayfası koyarak bir wpad.dat dosyası oluşturarak düzeltildi.

CPU neredeyse sıfıra indi. Sorun çözülmüş görünüyor.

Brian Tolman
kaynak
sözdizimsel olarak yanlış bir yanıt, ancak açıkça sunmayı düşünmediğiniz bir URI için bir başarı yanıt kodu sadece yanlış.
anx
Ama semptomu çözdü. Bu durumda, sunucu yükünü azalttı, siteyi tekrar çalıştırdı ve gerçek sorunun yaşadığı A-Kayıtlarını tekrar yapmam için bana zaman verdi.
Brian Tolman
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.