Dibanjiri oleh wpad.dat

12

Jadi, server apache saya lambat, dan saya mencari di file log. Ternyata mereka telah tumbuh hingga 12GB akses dari berton-ton host yang berbeda yang mencoba mengakses /wpad.dat di salah satu Vhosts saya.

Sekarang, host virtual yang dimaksud adalah "catch-all" vhost yang dipanggil ketika browser tidak menyediakan nama host yang dikenal.

Saat ini saya mendapatkan ribuan permintaan per menit ke "/wpad.dat" dan sejauh yang Google katakan, ini ada hubungannya dengan server proxy? Tapi saya tidak menggunakan server proxy, jadi mengapa saya benar-benar dibombardir oleh permintaan ini.

Saya mendapatkan lebih banyak permintaan per menit untuk file yang tidak ada ini daripada permintaan normal. Jadi asumsi saya adalah bahwa saya berada di bawah suatu bentuk serangan. Lucunya itu umumnya hanya terjadi di malam hari (di sini di Swedia) dan tidak di siang hari.

Ukuran sampel dari 500 permintaan terbaru (yaitu setengah menit) menunjukkan bahwa itu terdiri dari 200 host yang berbeda, dan sampel kecil dari mereka menunjukkan bahwa mereka semua adalah host yang valid (bukan proxy TOR) jadi apakah ini beberapa server DNS yang salah dikonfigurasi ? Saya menjalankan server DNS di mesin.

Tolong bantu! :)

EDIT Tuan rumah yang mereka akses adalah "cluster.atlascms.se" jadi yang mereka lakukan adalah mengakses http://cluster.atlascms.se/wpad.dat ribuan kali per menit.

Sekarang, cluster.atlascms.se adalah host DNS failover saya. Jadi semua klien saya mengarahkan subdomain mereka ke cluster.atlascms.se, yang pada gilirannya mengarahkan mereka ke IP saat ini (server master server failover).

Seperti yang terlihat - ini berarti saya mendapatkan berton-ton permintaan untuk cluster.arlascms.se - dapatkah itu berarti bahwa DNS saya salah dikonfigurasikan?

apache-2.2 domain-name-system wpad.dat Sandman
sumber
3
Anda tahu, Anda bisa memasang file WPAD.DAT Anda sendiri dan benar-benar bersenang-senang dengan orang-orang ini. > tersenyum <Namun, seseorang telah melakukan konfigurasi di suatu tempat dengan mengerikan jika mereka menarik WPAD.DAT dari sumber yang tidak tepercaya. Anda mengarahkan semua browser mereka ke proksi yang Anda kontrol dan MiTM traffic mereka.
Evan Anderson
3
Saya akan sangat tergoda untuk memasang wpad.datyang hanya menunjuk tuan rumah lokal. Itu harus cukup menghancurkan siapa pun yang menyebabkan masalah mungkin memerlukan waktu untuk memperbaikinya.
Zoredache
1
@Sandman - File WPAD.DAT harus Javascript agar berfungsi. Lihat di sini: en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol
Evan Anderson
1
BTW, sangat tidak sopan bagimu untuk menemukan masalah, dan kemudian mencoba membuang sampahmu ke halaman orang lain. Jadi tolong jangan mengatur wpad Anda untuk menunjuk pada sistem orang lain.
Zoredache
1
Masalah dengan pengaturan DNS Anda adalah bahwa salah satu klien Anda yang menggunakan entri wildcard dns untuk mengarahkan semua sub domain mereka ke cluster.atlascms.se secara default akan menunjuk wpad.theirdomain.apapun yang ada di sana. Yang berarti jika mereka menetapkan nama host desktop mereka ke something.theirdomain.whthing maka itu akan mencari wpad.theirdomain.whthing, dapatkan IP Anda dan berulang kali meminta wpad.dat ribuan kali sehari.
Justin Buser

Jawaban:

9

Tampaknya zona DNS Anda eklundh.commemiliki catatan wildcard yang ditetapkan yang menunjuk ke cluster.atlascms.se. Ini termasuk wpad.eklundh.com. Saya sarankan Anda menambahkan catatan DNS yang secara eksplisit mendefinisikan wpad.eklundh.com. untuk 127.0.0.1atau sesuatu.

Sakit kepala
sumber
7
Saya benci catatan DNS wildcard. Mereka tidak pernah menjadi masalah.
Evan Anderson
Ok, saya sekarang telah menambahkan subdomain wpad ke semua domain saya di DNS saya yang semuanya menunjuk ke 127.0.0.1 - Saya harus menunggu untuk melihatnya menyebar dan melihat apakah ini memperbaiki masalah.
Sandman
Melihat dalam file log saya, sebagian besar permintaan tidak diarahkan pada subdomain wpad, tetapi ke IP atau ke cluster.atlascms.se ...
Sandman
11

Mesin akan mencari file WPAD.dat secara hierarkis berdasarkan FQDN mereka sendiri, jika mereka dikonfigurasi untuk autodiscovery proxy. Jadi, jika PC windows adalah anggota dari domain cdecom, ia akan mencari WPAD.dat di:

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

Kemungkinannya adalah bahwa di suatu tempat, seseorang memiliki domain yang merupakan subdomain dari salah satu yang Anda hosting HTTP, dan belum dikonfigurasi dengan benar atau menonaktifkan proxy penemuan otomatis. Karena itu, mereka cenderung mencari secara hierarkis.

Mungkin saja ada virus yang menyebabkan mereka melakukan ini; kemungkinan, jika mesin yang membuat kueri sangat banyak dan dalam beragam subnet, inilah yang terserah.

Jika memungkinkan, hindari mendefinisikan data DNS untuk subdomain wpad dari apa pun yang tidak ingin Anda gunakan untuk penemuan otomatis proksi.

Jika ini bukan opsi, Anda bisa mempertimbangkan menggunakan filter lapisan 7 untuk menemukan pertanyaan untuk wpad.dat dan menolak paket dengan pesan ICMP. Ini mungkin sebenarnya cara yang paling efektif untuk menghentikan lalu lintas, kecuali IP semuanya dari jaringan yang sama dan kontak teknis mereka di whois responsif.

Hal-hal yang akan mengarahkan host di lokasi tertentu untuk wpad.dat termasuk pengaturan domain, opsi nama domain dalam balasan DHCP, dan pengaturan eksplisit di browser web untuk memuat informasi proksi dari beberapa URL.

Falcon Momot
sumber
Saya tidak punya subdomain wpad, tapi saya punya subdomain wildcard. Saya pikir pelakunya mungkin domain atlascms.se saya (yang saya tidak memerlukan subdomain wildcard) yang merupakan domain yang saya gunakan untuk klien saya untuk catatan CNAME mereka. Saya telah memperbarui DNS saya dan saya harus menunggu dan melihat apakah ini memperbaikinya.
Sandman
Masalahnya adalah bahwa semua ratusan ribu permintaan yang saya dapatkan dari ratusan dan ratusan host yang berbeda tidak mungkin semuanya berpikir bahwa atlascms.se ada di subnet mereka sendiri, tentu saja?
Sandman
Sama sekali tidak ada hubungannya dengan subnet; itu semua domain.
Falcon Momot
Ya, maaf untuk kebingungan terminologi.
Sandman
Sangat mungkin seseorang mencoba menggunakan domain Anda untuk meng-host wpad.dat berbahaya (dan gagal). Mungkin ada virus di luar sana yang mengatur URL Anda sebagai tempat untuk mendapatkan wpad.dat dari secara eksplisit, atau menunjuk host di sana, atau mungkin ada jaringan yang salah konfigurasi di luar sana.
Falcon Momot
4

Hal pertama yang akan saya lakukan adalah mencoba untuk mencari tahu di mana permintaan ini akan untuk , yaitu tujuan mereka. Apache tidak mencatat nama host secara default, jadi Anda bisa menggunakan tcpdumpuntuk menangkap secara singkat dan memeriksanya untuk Host:header permintaan, atau mengubah format log Apache Anda untuk mencatatnya. Saya lebih suka mencatatnya di bidang kedua yang tidak berguna, misalnya:

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

Setelah Anda tahu kepada siapa permintaan keliru ini ditujukan, apa yang harus dilakukan selanjutnya dapat menjadi jelas. Sebagai contoh, itu mungkin berubah menjadi beberapa perusahaan besar example.sedi mana Anda dapat menemukan admin jaringan mereka dan meneriaki mereka.

Michael Hampton
sumber
menggunakan server-status, saya melihat host mereka "menyerang", dan itu bahkan bukan vhost yang dikonfigurasi (itulah sebabnya ia dicatat oleh catch-all vhost) - host yang mereka SEMUA hubungkan adalah "atlas.eklundh. com "
Sandman
Dan juga, semua permintaan ini berasal dari ratusan dan ratusan host yang berbeda dari seluruh negara dan seluruh spektrum ISP, ini bukan berasal dari satu sumber atau satu perusahaan yang salah konfigurasi. Saya bertanya-tanya apakah saya melakukan sesuatu yang salah dengan domain eklundh.com saya di sini, yang server DNS-nya juga saya jalankan di mesin
Sandman
"atlas.eklundh.com" memutuskan untuk IP yang sama dengan "sandman.net".
Evan Anderson
1
Anda tidak benar-benar perlu mengkonfigurasi sistem untuk mencari wpad.dat. Anda hanya memiliki catatan DNS yang valid seperti wpad.eklundh.com(Anda memiliki catatan itu) dan komputer yang memiliki FQDN yang diatur ke sesuatu seperti * .eklundh.com` akan secara otomatis mencoba melakukan pencarian WPAD.
Zoredache
1
Masalahnya kemudian menjadi bahwa komputer mana pun yang berpikir itu ada di domain eklundh.com akan melihat bahwa wpad.eklundh.com valid, dan berupaya mengunduh konfigurasi server proxy dari domain itu. Anda dapat menghapus data DNS, atau mengkonfigurasi ulang semua komputer.
Michael Hampton
0

Hanya FYI, ModSecurityakan menangkap ini dan memblokirnya. Ada aturan yang disediakan oleh Comodo. Ini adalah entri log. Saya menghapus data yang relevan dengan akun sehingga ada di dalamnya hanya untuk menggunakannya sebagai contoh.

Kesalahan Apache: [file ""] [] [] [klien xxx.xxx.xxx.xxx] ModSecurity: Akses ditolak dengan kode 403 (fase 2). Frasa yang cocok ".dat /" di TX: extension. [file ""] ["] [id" 210730 "] [rev" 2 "] [msg" COMODO WAF: Ekstensi file URL dibatasi oleh kebijakan "] [data" .dat "] [severity" CRITICAL "] [nama host "dihapus"] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAAg"]

islandnet.com Web Hosting
sumber
-1

Punya masalah ini dan memperbaikinya dengan membuat file wpad.dat dengan menempatkan halaman "this left left blank" di dalamnya.

CPU hampir mendekati nol. Masalah tampaknya terpecahkan.

Brian Tolman
sumber
respons yang salah secara sintaksis, namun kode respons sukses untuk URI yang Anda jelas TIDAK ingin layani adalah salah.
anx
Tapi itu menyelesaikan gejalanya. Dalam hal ini, ini mengurangi beban server, menjalankan situs lagi, dan memberi saya waktu untuk mengulang A-Records di mana masalah sebenarnya tinggal.
Brian Tolman