Quindi, il mio server Apache era lento e ho guardato nei file di registro. Si è scoperto che erano cresciuti a 12 GB di accessi da tonnellate e tonnellate di host diversi che cercavano di accedere a /wpad.dat su uno dei miei Vhosts.
Ora, l'host virtuale in questione è il vhost "catch-all" che viene invocato quando un browser non fornisce un nome host noto.
Attualmente sto ricevendo migliaia di richieste al minuto su "/wpad.dat" e, per quanto può dirmi Google, questo ha qualcosa a che fare con i server proxy? Ma non uso server proxy, quindi perché sono letteralmente bombardato da queste richieste.
Ricevo più richieste al minuto per questo file inesistente rispetto alle richieste normali. Quindi la mia ipotesi è che sono sotto una qualche forma di attacco. La cosa divertente è che generalmente si verifica solo di notte (qui in Svezia) e non durante il giorno.
Una dimensione di esempio delle ultime 500 richieste (ovvero mezzo minuto) mostra che è composta da 200 host diversi, e un piccolo esempio di quelle mostra che sono tutti host validi (non proxy TOR), quindi alcuni server DNS non sono configurati correttamente ? Corro un server DNS sulla macchina.
Per favore aiuto! :)
EDIT L'host a cui accedono è "cluster.atlascms.se", quindi ciò che fanno è accedere a http://cluster.atlascms.se/wpad.dat migliaia di volte al minuto.
Ora cluster.atlascms.se è il mio host di failover DNS. Quindi tutti i miei clienti indirizzano i loro sottodomini a cluster.atlascms.se, che a loro volta li indirizza verso l'IP corrente (server principale del server di failover).
A quanto pare - questo significa che sto ricevendo tonnellate e tonnellate di richieste a cluster.arlascms.se - potrebbe significare che il mio DNS non è configurato correttamente?
wpad.dat
che indica semplicemente l'host locale. Ciò dovrebbe rompere abbastanza le cose che chiunque sta causando il problema potrebbe richiedere del tempo per risolverlo.