Backstory: Недавно кто-то каким-то образом скомпрометировал установку Xenforo, связанную с моим сервером, и ввел бесконечно циклический скрипт php mail(). Он отправил тысячи электронных писем из домена во внешний мир, в результате чего мой домен занесен в черный список со всех основных интернет-провайдеров электронной почты, прежде чем я даже заметил, что это происходит. Я нашел файл, который каким-то образом был введен в каталог кэша и skin_cache форума, и удалил их и настроил постоянный переадресацию (используя перенаправление заголовка php) на сайт для сбора нежелательной почты.Apache/Linux Webserver динамически блокирует входящие POST-запросы
Текущая проблема: Теперь я вижу устойчивый и бесконечный поток запросов POST к вышеупомянутым сценариям спама. IP-адреса различаются каждый раз и, похоже, никогда не прекращают приходить. Это происходит уже более двух недель. Настолько, что мой apache максимизирует настройку MaxClients и сталкивается с проблемами памяти и начинает закрывать другие процессы для компенсации.
Это то, что появляется в журнале:
190.40.7.126 - - [28/Mar/2013:18:58:30 -0500] "POST /forum/cache/sslFDoB.php HTTP/1.1" 200 3889 "-" "Mozilla/5.0"
190.104.19.189 - - [28/Mar/2013:18:58:39 -0500] "POST /forum/cache/sslFDoB.php HTTP/1.1" 200 3889 "-" "Mozilla/5.0"
78.251.159.173 - - [28/Mar/2013:18:58:57 -0500] "POST /forum/cache/sslFDoB.php HTTP/1.1" 200 3889 "-" "Mozilla/5.0"
219.78.213.10 - - [28/Mar/2013:18:59:09 -0500] "POST /forum/cache/sslFDoB.php HTTP/1.1" 200 3889 "-" "Mozilla/5.0"
69.123.20.137 - - [28/Mar/2013:18:59:09 -0500] "POST /forum/cache/sslFDoB.php HTTP/1.1" 200 3889 "-" "Mozilla/5.0"
2.234.181.7 - - [28/Mar/2013:18:59:37 -0500] "POST /forum/cache/sslFDoB.php HTTP/1.1" 200 3889 "-" "Mozilla/5.0"
187.207.223.67 - - [28/Mar/2013:18:59:44 -0500] "POST /forum/cache/sslFDoB.php HTTP/1.1" 200 3889 "-" "Mozilla/5.0"
24.242.122.42 - - [28/Mar/2013:19:01:56 -0500] "POST /forum/cache/sslFDoB.php HTTP/1.1" 200 3889 "-" "Mozilla/5.0"
213.49.254.102 - - [28/Mar/2013:19:02:32 -0500] "POST /forum/cache/sslFDoB.php HTTP/1.1" 200 3889 "-" "Mozilla/5.0"
82.247.48.152 - - [28/Mar/2013:19:02:38 -0500] "POST /forum/cache/sslFDoB.php HTTP/1.1" 200 3889 "-" "Mozilla/5.0"
41.135.146.136 - - [28/Mar/2013:19:02:43 -0500] "POST /forum/cache/sslFDoB.php HTTP/1.1" 200 3889 "-" "Mozilla/5.0"
91.187.93.36 - - [28/Mar/2013:19:03:04 -0500] "POST /forum/cache/sslFDoB.php HTTP/1.1" 200 3889 "-" "Mozilla/5.0"
194.90.37.132 - - [28/Mar/2013:19:03:40 -0500] "POST /forum/cache/sslFDoB.php HTTP/1.1" 200 3889 "-" "Mozilla/5.0"
мне нужны предложения на лучший способ пойти об обращении с этой проблемой. Простое перенаправление или 404-е из них не остановят использование ресурсов на сервере. Существует так много разных IP-адресов с такой постоянной скоростью, что трудно увидеть, есть ли какие-либо дублирующие IP-адреса вообще. Все они кажутся на случайных диапазонах и различного происхождения. Я честно не уверен, что это поддельные запросы или искренне скомпрометированные клиенты, пострадавшие от рассылок xss или какого-либо вируса.
Было бы разумным придумать способ запретить любой IP-адрес, который запрашивает этот файл динамически, чтобы они не могли повторить попытку? Мне нужны предложения и помощь в этом, пожалуйста.
Благодарим вас за идеи. Ошибка загрузки сервера может быть неправильной конфигурацией с моей установкой postfix. Я только что нашел некоторые проблемы в журнале для этого, а также установил dovecot и opendkim вчера. Что касается отмены входящих соединений, все ваши предложения были прочитаны, и я посмотрю, кто из них сделает работу лучше. Спасибо за ваш ответ. :] – dns
Теперь я настроил mod_security, чтобы заблокировать все входящие запросы к этому файлу. Еще раз спасибо за логические идеи, lol. – dns