Caros colegas da lista,
primeiramente gostaria de agradecer à dica enviada por Alejandro sobre a
instalação do apxs, não conhecia o yum, agora ficou bem mais fácil, não tem
que ficar procurando dependências de pacotes.
Estou com um problema, e tenho quase certeza se tratar de um ataque.
Tenho um servidor web que é meu DNS primário também.
Troquei a versão do Linux, era um CL9 e agora é um FC2. Instalei o
mod_security e configurei, na esperança de parar o ataque, mas não adiantou.
No arquivo access_log do http fica aparecendo as seguintes mensagens:
65.110.36.200 - - [05/Oct/2005:08:28:39 -0300] "CONNECT 67.28.113.19:25
HTTP/1.0" 403 296 "-" "-"
213.85.93.32 - - [05/Oct/2005:08:28:33 -0300] "CONNECT login.icq.com:443
HTTP/1.0" 200 - "-" "-"
62.206.8.75 - - [05/Oct/2005:08:33:01 -0300] "CONNECT 64.12.161.153:443
HTTP/1.0" 200 - "-" "-"
Isso está deixando meu site muito lento, e gerando uma quantidade enorme de
consultas no DNS.
Para melhorar o acesso, tenho que parar o serviço DNS, então meu secundário
assume (Servidor de Email). Aí o site volta ao normal, mas o de email fica
lento (lógico, so redirecionei as consultas).
Gostaria de saber se alguém sabe se realmente isso se trata de um ataque, e
como barrar.
Atenciosamente,
-----------------------------------------------------------
André Luiz Felix Nunes
---------------------------------------------------------------------------
Esta lista é patrocinada pela Conectiva S.A. Visite http://www.conectiva.com.br
Arquivo: http://bazar2.conectiva.com.br/mailman/listinfo/linux-br
Regras de utilização da lista: http://linux-br.conectiva.com.br
FAQ: http://www.zago.eti.br/menu.html
