Serveur apache - junk request dans les logs

salut

j’ai mis en place un serveur apache2, un service de dns dynamique (freeDNS) et ouvert le port 80 sur mon routeur, pour accéder depuis ailleurs que chez moi a pas mal de services http (web ui torrent, subsonic, webpidginz etc.), et sites en développement (de manière privée)

depuis quelques temps ma connexion est ralentie quand le port 80 est ouvert vers mon poste, du coup je suppose que c’est bien en http que ça charge

quand j’ouvre le log apache access.log j’ai effectivement un tas de connexions par seconde dont j’ignore la nature. ex. :

216.244.71.52 - - [06/Jan/2013:03:28:35 +0100] "GET http://view.atdmt.com/iaction/adoapn_AppNexusDemoActionTag_1 HTTP/1.0" 503 596 "http://ib.adnxs.com/bounce?%2Ftt%3Fid%3D919061%26size%3D300x250" "Mozilla/4.73 [en] (Win98; U)" 64.31.12.210 - - [06/Jan/2013:03:28:35 +0100] "GET http://ads1.ministerial5.com/creative/2-002134467-00001i;size=3 HTTP/1.0" 503 603 "http://www.workinhouses.com/html/merits-of-interactive-factory-assembly-line-manuals.html" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.9.1.3) Gecko/20090824 Firefox/3.5.3 GTB5" 216.244.73.118 - - [06/Jan/2013:03:28:35 +0100] "GET http://net.e-viral.com/ttj?id=1024837&size=120x600 HTTP/1.0" 503 597 "http://www.insidespanishfootball.com/delgado-ferreiro-failed-to-call-penalties-on-ozil-and-iniesta/" "Mozilla/4.0 (compatible; MSIE 7.0; Win32)" 216.244.80.195 - - [06/Jan/2013:03:28:35 +0100] "GET http://ib.adnxs.com/tt?id=894145&size=160x600 HTTP/1.0" 503 594 "http://www.fantasyfootballsscout.com/2012/05/14/fpl-bonus-gameweek-thirty-eight/index.htm" "Mozilla/3.0 WebTV/1.2 (compatible; MSIE 2.0)" 208.115.245.11 - - [06/Jan/2013:03:28:35 +0100] "GET http://ib.adnxs.com/ttj?id=959246&cb=${CACHEBUSTER}&pubclick=${CLICK_URL} HTTP/1.0" 302 790 "http://digoutworld.com/5-simple-tactics-for-refinancing-consolidated-student-loans-uncovered.html" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:1.5a) Gecko/20031002 Mozilla Firebird/0.6.1" 69.162.106.234 - - [06/Jan/2013:03:28:35 +0100] "GET http://ad.scanmedios.com/st?ad_type=iframe&ad_size=300x250&section=3842624 HTTP/1.0" 503 599 "http://ads1.ministerial5.com/creative/2-002134287-00001i;size=1" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 1.0.3705; .NET CLR 1.1.4322; Alexa Toolbar)" 216.244.93.93 - - [06/Jan/2013:03:28:35 +0100] "GET http://ads.adk2.com/player.html?a=8882265&size=300x250&ci=1&r=&= HTTP/1.0" 503 594 "001|http://fantasyfootballsscout.com/2012/05/16/euro-2012-team-analysis-czech-republic/comment-page-6/index.htm#comment-3230256" "Mozilla/4.0 (compatible; MSIE 5.01; Windows NT)" 69.162.89.187 - - [06/Jan/2013:03:28:35 +0100] "GET http://ads.creafi-online-media.com/st?ad_type=iframe&ad_size=300x250&section=3226317 HTTP/1.0" 503 609 "http://www.onlinemarketingcard.com/html/the-vaticans-proposal-toward-a-one-world-economic-system.html" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)" 98.126.98.195 - - [06/Jan/2013:03:28:35 +0100] "GET http://ib.adnxs.com/tt?id=1084634&size=300x250 HTTP/1.0" 503 594 "http://perezhilton.com/2012-12-25-anne-hathaway-sings-i-dreamed-a-dream-les-miserables/?from=blogroll" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; Alexa Toolbar)"

est-ce que quelqu’un aurait une idée de pourquoi tout ce trafic débarque chez moi, et quelles solutions serait envisageable pour remédier au problème ?

merci !

Regarde ici :

forum.ubuntu-fr.org/viewtopic.php?id=1159531

Je pense que sa pourra t’aider à découvrir les causes de ton problème.

Lorsque l’on a un nom de domaine, on peut penser à une erreur de dns. Sinon ils utilisent l’adresse ip de la machine ou un nom de domaine de la machine.
Il y a souvent des tentatives avec apache-w00tw00t dans l’url qui correspondent à des recherches de failles à priori corrigées maintenant.
Autrement, beaucoup font des recherches avec des url sur des variantes de phpmyadmin ou autres noms correspondants à des scripts connus.

[quote=“prohand”]Regarde ici :
forum.ubuntu-fr.org/viewtopic.php?id=1159531
Je pense que sa pourra t’aider à découvrir les causes de ton problème.[/quote]
merci en fait c’est moi qui est créé ce topic aussi et ils sont du coup très semblables

je pense à un soucis du côté du prestataire freeDNS (chickenkiller.com)
je change radicalement de systeme du coup, je vais chez no-ip
j’ai renseigné une ip bidon sur mon ancien sous-domaine, et le trafic a apparemment diminué
je vous tiens au courant dès que mon fai me fourni une nouvelle ip

j’ai un autre souci, j’analyse mon trafic entrant / sortant avec wireshark et j’ai des requêtes DNS A de mon debian vers mon routeur assez incongrues, plein de noms de domaine avec des “ad.blabla” (ad = pub)
j’ai aucune idée d’où ça peut venir, on dirait un spyware sur mon debian, est-ce qu’il y a moyen de savoir quel processus émet ce type de requête avec wireshark ou autre ?

Salut,

Remèdes ?

fail2ban ?
portsentry ?
denyhosts ?
htaccess ?

Entre autre …

[quote=“loreleil”]fail2ban ?
portsentry ?
denyhosts ?
htaccess ?[/quote]

j’avais déjà installé denyhosts mais il concerne plutot les attaque bruteforce en ssh
fail2ban et portsentry on l’air intéressants, merci
http://monblog.system-linux.net/blog/2011/05/08/securisation-dune-machine-avec-portsentry-et-fail2ban-plus-libapache2-mod-evasive/

je crois que j’ai trouvé l’une des origines du problème : j’avais activé mod_proxy sans sécuriser apache
j’ai donc ajouté

<Proxy *> Order deny,allow Deny from all Allow from mondomaine.com </Proxy>
et j’ai 10x moins de traffic

il y a encore des requêtes A vers
static.reverse.lstn.net
et
in-addr.arpa (ça je crois pas que ça soit louche)

j’attends toujours cette nouvelle IP

c’est bon j’ai changé d’IP et je n’ai plus AUCUNE requête de ce type en passant par un service no-ip.org (au lieu d’un freeDNS sur chickenkiller.com donc éviter les sous domaines dynamique sur chickenkiller a priori)

merci pour vos conseils