ถูกน้ำท่วมโดย wpad.dat

12

ดังนั้นเซิร์ฟเวอร์ apache ของฉันจึงช้าและฉันดูในล็อกไฟล์ กลับกลายเป็นว่าพวกเขามีการเข้าถึงเพิ่มขึ้นเป็น 12GB จากตันและโฮสต์ที่แตกต่างกันจำนวนมากที่พยายามเข้าถึง /wpad.dat บน Vhosts ตัวใดตัวหนึ่งของฉัน

ตอนนี้โฮสต์เสมือนที่สงสัยคือ "catch-all" vhost ที่เรียกใช้เมื่อเบราว์เซอร์ไม่ได้ระบุชื่อโฮสต์ที่รู้จัก

ขณะนี้ฉันได้รับคำขอนับพันต่อนาทีเป็น "/wpad.dat" และเท่าที่ Google บอกได้นี่เป็นสิ่งที่มีสิ่งที่ต้องทำกับพร็อกซีเซิร์ฟเวอร์ แต่ฉันไม่ได้ใช้พร็อกซีเซิร์ฟเวอร์ดังนั้นเหตุใดฉันจึงถูกโจมตีโดยคำขอเหล่านี้

ฉันได้รับการร้องขอมากขึ้นต่อนาทีสำหรับไฟล์ที่ไม่มีอยู่จริงกว่าที่ฉันได้รับการร้องขอตามปกติ ดังนั้นข้อสันนิษฐานของฉันคือฉันอยู่ภายใต้การโจมตีบางรูปแบบ สิ่งที่ตลกคือมันมักจะเกิดขึ้นตอนกลางคืนเท่านั้น (ที่นี่ในสวีเดน) และไม่ใช่ในช่วงกลางวัน

ขนาดตัวอย่างของคำขอ 500 ครั้งล่าสุด (เช่นครึ่งนาที) แสดงว่าประกอบด้วย 200 โฮสต์ที่แตกต่างกันและตัวอย่างเล็ก ๆ ของรายการเหล่านั้นแสดงว่าพวกเขาเป็นโฮสต์ที่ถูกต้องทั้งหมด (ไม่ใช่พร็อกซี TOR) ดังนั้นนี่คือเซิร์ฟเวอร์ DNS บางตัวที่ไม่ถูกต้อง ? ฉันเรียกใช้เซิร์ฟเวอร์ DNS บนเครื่อง

กรุณาช่วย! :)

แก้ไข โฮสต์ที่พวกเขากำลังเข้าถึงคือ "cluster.atlascms.se" ดังนั้นสิ่งที่พวกเขาทำคือการเข้าถึงhttp://cluster.atlascms.se/wpad.datหลายพันครั้งต่อนาที

ตอนนี้ cluster.atlascms.se เป็นโฮสต์ DNS failover ของฉัน ดังนั้นลูกค้าของฉันทั้งหมดชี้โดเมนย่อยไปที่ cluster.atlascms.se ซึ่งจะชี้ไปที่ IP ปัจจุบัน (เซิร์ฟเวอร์หลักของเซิร์ฟเวอร์ failover)

ตามที่ปรากฏ - นี่หมายความว่าฉันได้รับคำร้องขอไปยัง cluster.arlascms.se มากมายและนั่นหมายความว่า DNS ของฉันกำหนดค่าผิดพลาดหรือไม่

apache-2.2 domain-name-system wpad.dat

— แซนด์แมน
แหล่งที่มา

3

คุณรู้คุณสามารถวางไฟล์ WPAD.DAT ของคุณเองและสนุกกับคนเหล่านี้ > Smile <อย่างจริงจังบางคนได้ b0rked การกำหนดค่าบางอย่างน่ากลัวถ้าพวกเขาดึง WPAD.DAT จากแหล่งที่ไม่น่าเชื่อถือ คุณเปลี่ยนเส้นทางเบราว์เซอร์ทั้งหมดเป็นพร็อกซีที่คุณควบคุมและ MiTM ปริมาณการใช้งาน

— Evan Anderson

3

ฉันจะถูกล่อลวงอย่างยิ่งที่จะวางwpad.datที่ชี้โฮสต์ท้องถิ่น สิ่งนี้ควรทำลายสิ่งต่างๆให้มากพอสำหรับใครก็ตามที่เป็นสาเหตุของปัญหาอาจต้องใช้เวลาในการแก้ไข

— Zoredache

1

@Sandman - ไฟล์ WPAD.DAT ต้องเป็นจาวาสคริปต์เพื่อใช้งาน ดูที่นี่: en.wikipedia.org/wiki/Web_Proxy_Autodiscovery_Protocol

— Evan Anderson

1

BTW มันหยาบคายอย่างมากสำหรับคุณที่จะค้นพบปัญหาแล้วลองทิ้งขยะของคุณบนสนามหญ้าของคนอื่น ดังนั้นโปรดอย่าตั้งค่า wpad ของคุณให้ชี้ไปที่ระบบของคนอื่น

— Zoredache

1

ปัญหาเกี่ยวกับการตั้งค่า DNS ของคุณคือไคลเอนต์ใด ๆ ของคุณที่ใช้รายการ wildcard dns เพื่อชี้โดเมนย่อยทั้งหมดไปที่ cluster.atlascms.se โดยค่าเริ่มต้นจะเป็นการชี้ wpad.theirdomain.who ซึ่งหมายความว่าถ้าพวกเขาตั้งชื่อโฮสต์เดสก์ท็อปของพวกเขาเป็นอะไรโดเมนอะไรก็ตามมันจะค้นหา wpad โดเมนเหล่านั้นไม่ว่าจะได้รับ IP ของคุณและขอซ้ำ wpad.dat หลายพันครั้งต่อวัน

— Justin Buser

9

ปรากฏว่าโซน DNS ของคุณeklundh.comมีการบันทึกสัญลักษณ์แทนกำหนดชี้ไปที่นี้รวมถึงcluster.atlascms.se. wpad.eklundh.comผมขอแนะนำให้คุณเพิ่มระเบียน DNS wpad.eklundh.comอย่างชัดเจนกำหนด เพื่อ127.0.0.1หรือบางสิ่งบางอย่าง

— Zoredache
แหล่งที่มา

7

ฉันเกลียดระเบียน DNS wildcard พวกเขาไม่เคยมีอะไรนอกจากมีปัญหา

— Evan Anderson

ตกลงตอนนี้ฉันได้เพิ่มโดเมนย่อย wpad ให้กับโดเมนทั้งหมดของฉันใน DNS ของฉันแล้วซึ่งชี้ไปที่ 127.0.0.1 - ฉันต้องรอเพื่อดูว่าเผยแพร่และดูว่าวิธีนี้แก้ปัญหาได้หรือไม่

— Sandman

เมื่อดูในไฟล์บันทึกของฉันคำขอจำนวนมากไม่ได้ถูกส่งไปยังโดเมนย่อยของ wpad แต่จะไปที่ IP หรือไปที่ cluster.atlascms.se ...

— Sandman

11

เครื่องจะค้นหาไฟล์ WPAD.dat ตามลำดับชั้นตาม FQDN ของตนเองหากมีการกำหนดค่าสำหรับการค้นหาอัตโนมัติพร็อกซี ดังนั้นหาก windows PC เป็นสมาชิกของโดเมน cdecom มันจะค้นหา WPAD.dat ใน:

http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat

มีโอกาสเกิดขึ้นที่ใดที่หนึ่งบางคนมีโดเมนซึ่งเป็นโดเมนย่อยของหนึ่งในโดเมนที่คุณโฮสต์บน HTTP และยังไม่ได้กำหนดค่าหรือปิดใช้งานการค้นพบพร็อกซีอัตโนมัติอย่างถูกต้อง ดังนั้นพวกเขาจึงมีแนวโน้มที่จะค้นหาแบบลำดับชั้น

เป็นไปได้ว่าไวรัสอาจทำให้พวกเขาทำเช่นนี้ เป็นไปได้ว่าหากเครื่องที่ทำแบบสอบถามมีจำนวนมากและในเครือข่ายย่อยที่หลากหลายนี่คือสิ่งที่เกิดขึ้น

ถ้าเป็นไปได้หลีกเลี่ยงการกำหนดระเบียน DNS สำหรับโดเมนย่อย wpad ของสิ่งใดก็ตามที่คุณไม่ต้องการใช้สำหรับการค้นหาอัตโนมัติของพร็อกซี

หากนี่ไม่ใช่ตัวเลือกคุณสามารถใช้การกรองเลเยอร์ 7 เพื่อค้นหาเคียวรีสำหรับ wpad.dat และปฏิเสธแพ็กเก็ตด้วยข้อความ ICMP นี่อาจเป็นวิธีที่มีประสิทธิภาพสูงสุดในการหยุดการรับส่งข้อมูลเว้นแต่ว่า IP นั้นมาจากเครือข่ายเดียวกันและการติดต่อทางเทคนิคของพวกเขาใน whois นั้นจะตอบสนอง

สิ่งที่จะชี้โฮสต์ที่ตำแหน่งเฉพาะสำหรับ wpad.dat รวมถึงการตั้งค่าโดเมนตัวเลือกชื่อโดเมนในการตอบกลับ DHCP และการตั้งค่าที่ชัดเจนในเว็บเบราว์เซอร์เพื่อโหลดข้อมูลพร็อกซีจาก URL บางรายการ

— Falot Momot
แหล่งที่มา

ฉันไม่มีโดเมนย่อยของ wpad แต่ฉันมีโดเมนย่อยแบบไวด์การ์ด ฉันคิดว่าผู้ร้ายอาจเป็นโดเมน atlascms.se ของฉัน (ซึ่งฉันไม่ต้องการโดเมนย่อยแบบ wildcard) ซึ่งเป็นโดเมนที่ฉันใช้สำหรับลูกค้าของฉันสำหรับระเบียน CNAME ฉันได้อัปเดต DNS ของฉันแล้วและฉันต้องรอและดูว่าสิ่งนี้แก้ไขได้หรือไม่

— Sandman

ปัญหาก็คือว่าคำขอทั้งหมดที่ฉันได้รับจากแสนคนต่าง ๆ เหล่านี้นับร้อยนับแสนไม่สามารถคิดได้เลยว่า atlascms.se อยู่ในเครือข่ายของตัวเองใช่ไหม?

— Sandman

มันไม่มีอะไรเกี่ยวข้องกับซับเน็ต มันคือโดเมนทั้งหมด

— Falcon Momot

ใช่ขอโทษด้วยความสับสนของคำศัพท์

— Sandman

อาจเป็นไปได้ว่ามีคนพยายามใช้โดเมนของคุณเพื่อโฮสต์ wpad.dat ที่เป็นอันตราย (และล้มเหลว) อาจมีไวรัสจากการตั้งค่า URL ของคุณเป็นสถานที่รับ wpad.dat อย่างชัดเจนหรือชี้โฮสต์ที่นั่นหรืออาจมีเครือข่ายที่กำหนดค่าผิดพลาด

— Falcon Momot

4

สิ่งแรกที่ฉันจะทำคือพยายามค้นหาว่าคำขอเหล่านี้จะไปที่ใดนั่นคือปลายทางของพวกเขา Apache จะไม่บันทึกชื่อโฮสต์ตามค่าเริ่มต้นดังนั้นคุณสามารถใช้tcpdumpเพื่อรับการจับภาพสั้น ๆ และตรวจสอบHost:ส่วนหัวคำขอหรือเปลี่ยนรูปแบบบันทึก Apache เพื่อบันทึก ฉันชอบที่จะเข้าสู่ระบบในเขตข้อมูลที่สองที่ไร้ประโยชน์เช่น:

LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined

เมื่อคุณทราบว่าใครเป็นผู้ส่งคำร้องขอที่ผิดพลาดเหล่านี้ไปที่ใดสิ่งที่ต้องทำต่อไปอาจชัดเจน ตัวอย่างเช่นอาจเป็น บริษัท ขนาดใหญ่example.seที่คุณสามารถไปหาผู้ดูแลระบบเครือข่ายและตะโกนใส่พวกเขา

— Michael Hampton
แหล่งที่มา

ใช้สถานะเซิร์ฟเวอร์ฉันเห็นโฮสต์พวกเขา "โจมตี" และมันไม่ได้เป็นโฮสต์ที่กำหนดค่า (ซึ่งเป็นสาเหตุที่ถูกบันทึกโดย catch-all vhost) - โฮสต์ที่พวกเขากำลังเชื่อมต่อทั้งหมดคือ "atlas.eklundh com "

— Sandman

และคำขอทั้งหมดเหล่านี้มาจากโฮสต์ที่แตกต่างกันหลายร้อยและหลายร้อยจากทั่วประเทศและทั่วสเปกตรัม ISP นี่ไม่ได้มาจากแหล่งเดียวหรือ บริษัท หนึ่งที่กำหนดค่าผิดพลาด ฉันสงสัยว่าฉันกำลังทำสิ่งผิดปกติกับโดเมน eklundh.com ของฉันที่นี่ซึ่งมีเซิร์ฟเวอร์ DNS ที่ฉันยังทำงานบนเครื่อง

— Sandman

"atlas.eklundh.com" แก้ไขเป็น IP เดียวกันกับ "sandman.net"

— Evan Anderson

1

คุณไม่จำเป็นต้องกำหนดค่าระบบเพื่อค้นหา wpad.dat คุณเพียงแค่มีระเบียน DNS ที่ถูกต้องเช่นwpad.eklundh.com(คุณมีบันทึกนั้น) และคอมพิวเตอร์ที่มี FQDN ที่ตั้งค่าเป็น * .eklundh.com` จะพยายามทำการค้นหา WPAD โดยอัตโนมัติ

— Zoredache

1

ปัญหากลายเป็นว่าคอมพิวเตอร์เครื่องใด ๆ ที่คิดว่าอยู่ในโดเมน eklundh.com จะเห็นว่า wpad.eklundh.com นั้นถูกต้องและพยายามดาวน์โหลดการกำหนดค่าพร็อกซีเซิร์ฟเวอร์จากมัน คุณสามารถลบระเบียน DNS หรือกำหนดค่าคอมพิวเตอร์ทุกเครื่องใหม่

— Michael Hampton

0

เพียงแค่ FYI ModSecurityจะจับสิ่งนี้และบล็อกมัน มีชุดกฎที่ Comodo จัดหาให้ นี่คือรายการบันทึก ฉันถอดข้อมูลบัญชีที่เกี่ยวข้องออกเพื่อให้มีข้อมูลอยู่ในนั้นเพื่อใช้เป็นตัวอย่าง

Apache-Error: [file ""] [] [] [client xxx.xxx.xxx.xxx] ModSecurity: การเข้าถึงถูกปฏิเสธด้วยรหัส 403 (เฟส 2) จับคู่วลี ".dat /" ที่ TX: ส่วนขยาย [file ""] ["] [id" 210730 "] [rev" 2 "] [msg" COMODO WAF: นามสกุลไฟล์ URL ถูก จำกัด โดยนโยบาย "] [data" .dat "] [รุนแรง" สำคัญ "] [ชื่อโฮสต์ "ถูกลบ"] [uri "/wpad.dat"] [unique_id "WjFa06qDOW3DDPRieFmICgAAAEg"]

— islandnet.com เว็บโฮสติ้ง
แหล่งที่มา

-1

พบปัญหานี้และแก้ไขได้โดยสร้างไฟล์ wpad.dat โดยวาง "หน้านี้ปล่อยให้หน้าว่าง" ลงไป

CPU ไปเกือบเป็นศูนย์ ดูเหมือนว่าปัญหาจะได้รับการแก้ไข

— Brian Tolman
แหล่งที่มา

คำตอบที่ผิด syntactically แต่รหัสการตอบสนองที่ประสบความสำเร็จสำหรับ URI คุณอย่างชัดเจนไม่ได้ตั้งใจที่จะให้บริการเป็นเพียงความผิด

— anx

แต่มันแก้ไขอาการ ในกรณีนี้มันลดการโหลดเซิร์ฟเวอร์ไปที่ไซต์ทำงานอีกครั้งและให้เวลาฉันในการทำซ้ำ A-Records ซึ่งปัญหาจริงเกิดขึ้น

— Brian Tolman