Wpad.dat দ্বারা প্লাবিত হচ্ছে

12

সুতরাং, আমার অ্যাপাচি সার্ভারটি ধীর ছিল এবং আমি লগ ফাইলগুলিতে সন্ধান করলাম। দেখা গেছে যে তারা আমার কোনও ভিস্টে /wpad.dat অ্যাক্সেস করার চেষ্টা করে বিভিন্ন হোস্টের টন এবং টন থেকে 12 গিগাবাইট অ্যাক্সেস পেয়েছে।

এখন, প্রশ্নে থাকা ভার্চুয়াল হোস্টটি হ'ল "ক্যাচ-অল" ভোস্ট যা যখন ব্রাউজার পরিচিত হোস্টনাম সরবরাহ না করে তখনই অনুরোধ করা হয়।

আমি বর্তমানে "/ wpad.dat" প্রতি মিনিটে হাজার হাজার অনুরোধ পাচ্ছি এবং গুগল যতদূর আমাকে বলতে পারে, প্রক্সি সার্ভারগুলির সাথে এটির কিছু একটা আছে? তবে আমি প্রক্সি সার্ভার ব্যবহার করি না, তবে কেন এই অনুরোধগুলির দ্বারা আমি আক্ষরিক অর্থে বোমা বর্ষণ করছি।

আমি এই নন-অ্যান্টিস্টিভ ফাইলটির জন্য প্রতি মিনিটে আরও বেশি অনুরোধ পাচ্ছি তার চেয়ে বেশি সাধারণ অনুরোধ পাচ্ছি। সুতরাং আমার ধারণাটি হ'ল আমি একরকম আক্রমণে আছি। মজার বিষয় হ'ল এটি সাধারণত রাতে হয় (এখানে সুইডেনে) এবং দিনের বেলা নয়।

সর্বশেষতম 500 টি অনুরোধের (যেমন অর্ধেক মিনিট) একটি নমুনা আকার দেখায় যে এটি 200 টি বিভিন্ন হোস্ট সমন্বিত এবং সেগুলির একটি ছোট্ট নমুনা দেখায় যে তারা সমস্ত বৈধ হোস্ট (টিওআর প্রক্সি নয়) তাই এটি কিছু ডিএনএস সার্ভারকে ভুলভাবে কনফিগার করা হচ্ছে ? আমি মেশিনে একটি ডিএনএস সার্ভার চালাচ্ছি।

সাহায্য করুন! :)

সম্পাদনা করুন তারা যে হোস্টটিতে অ্যাক্সেস করছে তা হ'ল "ক্লাস্টার.ট্লাসকমস.সি" সুতরাং তারা যা করে তা হ'ল প্রতি মিনিটে হাজারবার বার http://cluster.atlascms.se/wpad.dat অ্যাক্সেস করা ।

এখন, cluster.atlascms.se হ'ল আমার ডিএনএস ফেলওভার হোস্ট। সুতরাং আমার সমস্ত ক্লায়েন্ট তাদের সাবডোমেনগুলি cluster.atlascms.se এ নির্দেশ করে, যা তাদের বর্তমান আইপি (ফেইলওভার সার্ভারের মাস্টার সার্ভার) এ নির্দেশ করে points

যেমনটি মনে হচ্ছে - এর অর্থ আমি cluster.arlascms.se এর জন্য প্রচুর সংখ্যক অনুরোধ পাচ্ছি - এর অর্থ কী আমার ডিএনএসের ভুল কনফিগারেশন রয়েছে?

apache-2.2 domain-name-system wpad.dat

— Sandman থেকে
সূত্র

3

আপনি জানেন, আপনি নিজের ডাব্লুপিএডি.ড্যাট ফাইলটি রাখতে পারেন এবং এই লোকগুলির সাথে সত্যিই কিছু মজা করতে পারেন। > হাসি <গম্ভীরভাবে, যদিও কোনও অবিশ্বস্ত উত্স থেকে ডাব্লুপিএড.ড্যাট টানছে তবে কেউ মারাত্মকভাবে কোথাও একটি কনফিগারেশন তৈরি করেছে। আপনি তাদের সমস্ত ব্রাউজারগুলিকে নিয়ন্ত্রণ করেন এমন একটি প্রক্সি এবং তাদের ট্র্যাফিক এমআইটিএম এ পুনঃনির্দেশ করুন।

— ইভান অ্যান্ডারসন 21

3

আমি দৃ strongly়ভাবে এমন একটি স্থাপন করতে প্ররোচিত করব wpad.datযা কেবল স্থানীয় হোস্টকে নির্দেশ করে। এর ফলে এমন সমস্যাগুলি যথেষ্ট পরিমাণে ভাঙ্গা উচিত যে কেউ সমস্যা তৈরি করছে সেটিকে ঠিক করতে সময় নিতে পারে।

— জোরডাচি

1

@ স্যান্ডম্যান - WPAD.DAT ফাইলটি কাজ করার জন্য জাভাস্ক্রিপ্ট হওয়া দরকার। এখানে একবার দেখুন: en.wikedia.org/wiki/Web_Proxy_Autodiscovery_Protocol

— ইভান অ্যান্ডারসন

1

বিটিডাব্লু, আপনার পক্ষে সমস্যাটি আবিষ্কার করা অত্যন্ত অভদ্র এবং তারপরে আপনার ট্র্যাশটি অন্য কারও লনে ফেলে দেওয়ার চেষ্টা করুন। সুতরাং কারও এলিস সিস্টেমগুলিকে নির্দেশ করার জন্য দয়া করে আপনার wpad সেট করবেন না।

— জোরডাচি

1

আপনার ডিএনএস সেটআপে সমস্যাটি হ'ল আপনার ক্লায়েন্টগুলির মধ্যে যারা ক্লাইস্টার.এ্যাটলাস্ক্যামস.সে তাদের সমস্ত সাব ডোমেনকে নির্দেশ করতে একটি ওয়াইল্ডকার্ড ডিএনএস এন্ট্রি ব্যবহার করেন তাদের ডিফল্টরূপে wpad.theirdomain.ww hatever যার অর্থ যদি তারা তাদের ডেস্কটপের হোস্টনামটি কোনও কিছুর কাছে সেট করে oma

— জাস্টিন বুজার 6

9

দেখা যাচ্ছে যে আপনার ডিএনএস জোনে eklundh.comএকটি ওয়াইল্ডকার্ড রেকর্ড cluster.atlascms.se. রয়েছে যা এতে নির্দেশ করে wpad.eklundh.com। আমি আপনাকে স্পষ্টভাবে সংজ্ঞায়িত করে একটি ডিএনএস রেকর্ড যুক্ত করার পরামর্শ দিচ্ছি wpad.eklundh.com। থেকে 127.0.0.1বা কিছু।

— Zoredache
সূত্র

7

আমি ওয়াইল্ডকার্ড ডিএনএস রেকর্ডকে ঘৃণা করি। তারা কখনও ঝামেলা ছাড়া কিছুই ছিল না।

— ইভান অ্যান্ডারসন

ঠিক আছে, আমি এখন আমার ডিএনএসে আমার সমস্ত ডোমেনগুলিতে একটি wpad সাবডোমেন যুক্ত করেছি যা সমস্ত 127.0.0.1 এ নির্দেশ করে - এটির প্রচার এবং এটি সমস্যার সমাধান করে কিনা তা দেখার জন্য আমাকে অপেক্ষা করতে হবে।

— স্যান্ডম্যান 24'13

আমার লগ ফাইলগুলিতে সন্ধান করছেন, বিস্তৃত অনুরোধগুলি একটি wpad সাবডোমেন দ্বারা নির্দেশিত নয়, তবে আইপি বা cluster.atlascms.se তে ...

— স্যান্ডম্যান

11

মেশিনগুলি তাদের নিজস্ব এফকিউডিএন এর উপর ভিত্তি করে একটি ডাব্লুপিএডি.ড্যাট ফাইল অনুসন্ধান করবে যদি তারা প্রক্সি অটোডিস্কোভারির জন্য কনফিগার করা থাকে। সুতরাং, যদি উইন্ডোজ পিসি কোনও ডোমেইন সিডিকোমের সদস্য হয় তবে এটি ডাব্লুপিএডি.ড্যাট অনুসন্ধান করবে:

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

সম্ভাবনাগুলি হ'ল কোথাও কারওর একটি ডোমেন রয়েছে যা আপনি HTTP কে হোস্ট করছেন তার মধ্যে একটির সাবডোমেন এবং সঠিকভাবে কনফিগার করা বা প্রক্সি অটো-আবিষ্কার অক্ষম করা হয়নি। ফলস্বরূপ, তারা সম্ভবত শ্রেণিবদ্ধভাবে অনুসন্ধান করছে।

এটি সম্ভবত সম্ভব যে কোনও ভাইরাস তাদের এটি করার কারণ করেছে; সম্ভবত, যদি ক্যোয়ারী তৈরির মেশিনগুলি অত্যন্ত অসংখ্য এবং বিবিধ সাবনেটগুলিতে থাকে তবে এটিই শেষ।

যদি সম্ভব হয় তবে প্রক্সি স্বতঃ-আবিষ্কারের জন্য আপনি ব্যবহার করতে চান না এমন কোনও কিছুর wpad সাবডোমেনের জন্য একটি ডিএনএস রেকর্ডকে সংজ্ঞায়িত করুন।

যদি এটি কোনও বিকল্প না হয়, আপনি wpad.dat এর জন্য অনুসন্ধানগুলি অনুসন্ধান করতে স্তর 7 ফিল্টারিং ব্যবহার করতে এবং আইসিএমপি বার্তা সহ প্যাকেটগুলি প্রত্যাখ্যান করতে পারেন। ট্র্যাফিক থামানোর জন্য এটি সম্ভবত সবচেয়ে কার্যকর উপায় হতে পারে, যদি না আইপিগুলি একই নেটওয়ার্ক থেকে আসে এবং হুইসে তাদের প্রযুক্তিগত যোগাযোগটি প্রতিক্রিয়াশীল না হয়।

Wpad.dat- এর জন্য কোনও নির্দিষ্ট স্থানে হোস্টকে নির্দেশ করবে এমন বিষয়গুলির মধ্যে রয়েছে ডোমেন সেটিংস, ডিএইচসিপি জবাবগুলিতে ডোমেন নাম বিকল্প এবং কিছু URL থেকে প্রক্সি তথ্য লোড করার জন্য ওয়েব ব্রাউজারে একটি স্পষ্ট সেটিংস।

— ফ্যালকন মোমোট
সূত্র

আমার কাছে একটি wpad সাবডোমেন নেই, তবে আমার কাছে একটি ওয়াইল্ডকার্ড সাবডোমেন রয়েছে। আমি মনে করি অপরাধীটি আমার atlascms.se ডোমেইন হতে পারে (যার জন্য আমার ওয়াইল্ডকার্ড সাবডোমেন দরকার নেই) যা আমি আমার ক্লায়েন্টদের সিএমএল রেকর্ডগুলির জন্য ব্যবহার করি সেই ডোমেন। আমি আমার ডিএনএস আপডেট করেছি এবং আমাকে অপেক্ষা করতে হবে এবং এই জিনিসগুলি ঠিক করে কিনা তা দেখতে হবে।

— স্যান্ডম্যান 24'13

সমস্যাটি হ'ল আমি শত শত এবং বিভিন্ন হোস্টের কাছ থেকে প্রাপ্ত এই কয়েক হাজার অনুরোধগুলি কী সমস্তই সম্ভবত ভাবতে পারে না যে atlascms.se তাদের নিজস্ব সাবনেটে আছে, অবশ্যই?

— স্যান্ডম্যান

সাবনেটগুলির সাথে এর কিছুই করার নেই; এটি সমস্ত ডোমেন।

— ফ্যালকন মোমোট

হ্যাঁ, পরিভাষা বিভ্রান্তির জন্য দুঃখিত।

— স্যান্ডম্যান

দূষিত wpad.dat (এবং ব্যর্থ হওয়া) হোস্ট করার জন্য কেউ আপনার ডোমেনটি ব্যবহার করার চেষ্টা করছেন এটি সম্পূর্ণভাবে সম্ভব। স্পষ্টভাবে wpad.dat পাওয়ার জায়গা হিসাবে আপনার URL টি সেট করার কোনও ভাইরাস থাকতে পারে বা অন্যথায় সেখানে হোস্টগুলি নির্দেশ করছে, বা সেখানে কোনও ভুল কনফিগার্ড নেটওয়ার্ক থাকতে পারে।

— ফ্যালকন মোমোট

4

আমি প্রথমে যা করব তা হ'ল এই অনুরোধগুলি কোথায় চলেছে তা বোঝার চেষ্টা করা , অর্থাৎ তাদের গন্তব্য। অ্যাপাচি হোস্ট-নেমটি ডিফল্টরূপে লগইন করে না, সুতরাং আপনি অনুরোধ শিরোনামটির tcpdumpজন্য একটি সংক্ষিপ্ত ক্যাপচার পেতে এবং এটি পরীক্ষা করতে ব্যবহার করতে পারেন Host:বা এটি লগ করতে আপনার অ্যাপাচি লগ ফর্ম্যাটটি পরিবর্তন করতে পারেন। আমি এটি অন্যথায় অকেজো দ্বিতীয় ক্ষেত্রে লগ করতে পছন্দ করি, উদাহরণস্বরূপ:

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

এই ভুল অনুরোধগুলি কাকে সম্বোধন করা হচ্ছে তা আপনি একবার জানলে, পরবর্তী কী করবেন তা স্পষ্ট হয়ে উঠতে পারে। উদাহরণস্বরূপ, এটি কোনও বড় সংস্থার হয়ে উঠতে পারে example.seযেখানে আপনি তাদের নেটওয়ার্ক প্রশাসকদের সন্ধান করতে এবং সেগুলিতে চিৎকার করতে পারেন।

— মাইকেল হ্যাম্পটন
সূত্র

সার্ভার-স্থিতি ব্যবহার করে, আমি হোস্টটি দেখতে পাচ্ছি যে তারা "আক্রমণ করছে", এবং এটি একটি কনফিগার করা ভোস্টও নয় (যার কারণে এটি ক্যাচ-অল ভোস্ট দ্বারা লগ করা হয়) - যে হোস্টটি তারা সবাই সংযোগ করছে তারা হ'ল "অ্যাটলাস.ক্লুন্ধ"। com "

— স্যান্ডম্যান

এবং এছাড়াও, এই সমস্ত অনুরোধগুলি সারা দেশ এবং সমস্ত আইএসপি স্পেকট্রা জুড়ে শত শত এবং শত শত বিভিন্ন হোস্টের কাছ থেকে আসে, এটি কোনও উত্স বা একটি ভুল কনফিগার্ডক সংস্থা থেকে আসে না। আমি ভাবছি যে আমি যদি এখানে আমার eklundh.com ডোমেনের সাথে কিছু ভুল করছি তবে আমি যার ডিএনএস সার্ভারটিও মেশিনে চালাচ্ছি

— Sandman

"atlas.eklundh.com" একই আইপি "স্যান্ডম্যান ডটকম" হিসাবে সমাধান করে।

— ইভান অ্যান্ডারসন

1

আপনার wpad.dat সন্ধান করার জন্য সিস্টেমগুলি সত্যই কনফিগার করতে হবে না। আপনার কাছে কেবল একটি বৈধ ডিএনএস রেকর্ড wpad.eklundh.comথাকতে হবে (আপনার কাছে সেই রেকর্ড রয়েছে) এবং যে কম্পিউটারগুলিতে একটি FQDN রয়েছে যা * .eklundh.com` এর মতো কোনও কিছুর জন্য সেট করা স্বয়ংক্রিয়ভাবে ডাব্লুপিএডি লুকআপ করার চেষ্টা করবে।

— জোরডাচি

1

সমস্যাটি তখন হয়ে যায় যে যে কোনও কম্পিউটার যেটিকে এলুন্ড ডটকম ডোমেনে মনে করে যে wpad.eklundh.com বৈধ তা দেখতে পাবে এবং এটি থেকে একটি প্রক্সি সার্ভার কনফিগারেশন ডাউনলোড করার চেষ্টা করবে। আপনি ডিএনএস রেকর্ডটি সরাতে বা সমস্ত কম্পিউটার পুনরুদ্ধার করতে পারেন।

— মাইকেল হ্যাম্পটন

0

শুধু এফওয়াইআই, ModSecurityএটি ধরবে এবং এটিকে অবরুদ্ধ করবে। কমোডো দ্বারা সরবরাহিত একটি নিয়মকানুন রয়েছে। এখানে একটি লগ এন্ট্রি। আমি অ্যাকাউন্টের প্রাসঙ্গিক ডেটা এড়িয়ে চলেছি যাতে এটিতে এটি রয়েছে যাতে এটি উদাহরণ হিসাবে ব্যবহার করা যায়।

অ্যাপাচি-ত্রুটি: [ফাইল ""] [] [] [ক্লায়েন্ট এক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্সএক্স] মোড সিকিউরিটি: 403 কোড (ফেজ 2) সহ অ্যাক্সেস প্রত্যাখ্যান করা হয়েছে। ".ড্যাট /" টিএক্স-এ এক্সটেনশান মিলছে phrase [ফাইল ""] ["] [আইডি" 210730 "] [রেভ" 2 "] [msg" কমোডো ডাব্লুএইচএফ: নীতি দ্বারা ইউআরএল ফাইলের সম্প্রসারণ নিষিদ্ধ করা হয়েছে "] [ডেটা" .ড্যাট "] [তীব্রতা" ক্রিটিকাল "] [হোস্টনেম "অপসারণ"] [ইউরি "/ ডাব্লুপিএড.ড্যাট"] [ইউনিক_আইডি "WjFa06qDOW3DDPRieFmICgAAAEg"]

— islandnet.com ওয়েব হোস্টিং
সূত্র

-1

এই সমস্যাটি ছিল এবং এটিতে "এই পৃষ্ঠাটি ফাঁকা রাখুন" পৃষ্ঠা রেখে একটি wpad.dat ফাইল তৈরি করে এটি ঠিক করেছে।

সিপিইউ প্রায় শূন্যে চলে গেছে। সমস্যার সমাধান হচ্ছে বলে মনে হচ্ছে।

— ব্রায়ান টোলম্যান
সূত্র

একটি সিন্ট্যাক্টিক্যালি ভুল প্রতিক্রিয়া, তবুও আপনি যে ইউআরআইয়ের সাফ সাফল্যের উদ্দেশ্যে চান না তার সাফল্যের প্রতিক্রিয়া কোডটি কেবল ভুল।

— anx

তবে এটি লক্ষণটি সমাধান করেছে। এই উদাহরণস্বরূপ, এটি সার্ভারের লোড হ্রাস করেছে, আবার সাইট চালাচ্ছে এবং আসল সমস্যাটি যেখানে ছিল সেখানে আমাকে এ-রেকর্ডগুলি পুনরায় করতে সময় দিয়েছে।

— ব্রায়ান টোলম্যান 21