Быть лавинно рассылаемым wpad.dat
удостоверьтесь, что сервис "Планировщика задач" запускается.
введите В из командной строки для получения списка запланированных задач.
При выполнении пакетных файлов добавьте строку, которая распечатает дату и время в файл.
echo start my batch >> c:\confirmbatch.txt
date >> c:\confirmbatch.txt
time >> c:\confirmbatch.txt
all your other commands
echo >> c:\confirmbatch.txt
echo end of my batch >> c:\confirmbatch.txt
date >> c:\confirmbatch.txt
time >> c:\confirmbatch.txt
Вы canput дополнительное эхо комментируете для получения отказов по пути. Если Вы работаете и другой язык сценариев, Вы можете и должны добавить эти типы получений.
Похоже, что в вашей зоне DNS eklundh.com есть запись с подстановочными знаками, указывающая на cluster.atlascms.se. Сюда входит wpad.eklundh.com . Я предлагаю вам добавить запись DNS, явно определяющую wpad.eklundh.com . на 127.0.0.1 или что-то в этом роде.
Первое, что я хотел бы сделать, это попытаться выяснить, где эти запросы собираются в , то есть в пункт назначения. Apache не регистрирует имя хоста по умолчанию, поэтому вы можете использовать tcpdump , чтобы получить краткий захват и проверить его на предмет заголовка запроса Host: , либо изменить формат журнала Apache на зарегистрируйте это. Я предпочитаю регистрировать его во втором бесполезном поле, например:
LogFormat "%h %{Host}i %u %t \"%r\" %>s %b \"%{Referer}i\" \"%{User-agent}i\"" combined
Как только вы узнаете, кому адресованы эти ошибочные запросы, станет ясно, что делать дальше. Например, это может оказаться какая-то большая компания example.se , и в этом случае вы можете найти их сетевых администраторов и накричать на них.
Машины будут искать файл WPAD.dat иерархически на основе своего собственного FQDN, если они настроены для автообнаружения прокси. Итак, если ПК с Windows является членом домена cdecom, он будет искать WPAD.dat в:
http://wpad.c.d.e.com/wpad.dat
http://wpad.d.e.com/wpad.dat
http://wpad.e.com/wpad.dat
http://wpad/wpad.dat
Скорее всего, где-то у кого-то есть домен, который является поддоменом одного из тех, на которых вы размещаете HTTP, и не настроил или не отключил автоматическое обнаружение прокси. Как следствие, они, вероятно, осуществляют поиск в иерархическом порядке.
Возможно, вирус мог их заставить сделать это; скорее всего, если машин, выполняющих запрос, очень много и они находятся в разных подсетях, вот что происходит.
Если возможно, избегайте определения DNS-записи для поддомена wpad всего, что вы не собираетесь использовать для автоматического обнаружения прокси.
Если это не вариант, можно рассмотреть возможность использования фильтрации уровня 7 для поиска запросов для wpad.dat и отклонения пакетов с сообщением ICMP. На самом деле это может быть наиболее эффективным способом остановить трафик, если только все IP-адреса не из одной сети и их технический контакт в whois не отвечает.
Вещи, которые будут указывать хосту в определенном месте для wpad.dat, включают домен параметры, параметр имени домена в ответах DHCP и явная настройка в веб-браузере для загрузки информации прокси с некоторого URL-адреса.
избегайте определения DNS-записи для поддомена wpad всего, что вы не собираетесь использовать для автоматического обнаружения прокси.Если это не вариант, вы можете рассмотреть возможность использования фильтрации уровня 7 для поиска запросов для wpad.dat и отклонить пакеты с сообщением ICMP. На самом деле это может быть наиболее эффективным способом остановить трафик, если только все IP-адреса не из одной сети и их технический контакт в whois не отвечает.
Вещи, которые будут указывать хосту в определенном месте для wpad.dat, включают домен параметры, параметр имени домена в ответах DHCP и явная настройка в веб-браузере для загрузки информации прокси с некоторого URL-адреса.
избегайте определения DNS-записи для поддомена wpad всего, что вы не собираетесь использовать для автоматического обнаружения прокси.Если это не вариант, вы можете рассмотреть возможность использования фильтрации уровня 7 для поиска запросов для wpad.dat и отклонить пакеты с сообщением ICMP. На самом деле это может быть наиболее эффективным способом остановить трафик, если только все IP-адреса не из одной сети и их технический контакт в whois не отвечает.
Вещи, которые будут указывать хосту в определенном месте для wpad.dat, включают домен параметры, параметр имени домена в ответах DHCP и явная настройка в веб-браузере для загрузки информации прокси с некоторого URL-адреса.
вы можете рассмотреть возможность использования фильтрации уровня 7 для поиска запросов к wpad.dat и отклонения пакетов с сообщением ICMP. На самом деле это может быть наиболее эффективным способом остановить трафик, если только все IP-адреса не из одной сети и их технический контакт в whois не отвечает.Вещи, которые будут указывать хосту в определенном месте для wpad.dat, включают домен параметры, параметр имени домена в ответах DHCP и явная настройка в веб-браузере для загрузки информации прокси с некоторого URL-адреса.
вы можете рассмотреть возможность использования фильтрации уровня 7 для поиска запросов к wpad.dat и отклонения пакетов с сообщением ICMP. На самом деле это может быть наиболее эффективным способом остановить трафик, если только все IP-адреса не из одной сети и их технический контакт в whois не отвечает.Вещи, которые будут указывать хосту в определенном месте для wpad.dat, включают домен параметры, параметр имени домена в ответах DHCP и явная настройка в веб-браузере для загрузки информации прокси с некоторого URL-адреса.
Была эта проблема и исправлена путем создания файла wpad.dat, поместив в него страницу «эта страница оставлена пустой».
CPU упал почти до нуля. Проблема кажется решенной.
К вашему сведению, ModSecurity поймает это и заблокирует. Comodo предоставляет набор правил. Вот запись в журнале. Я вырезал данные, относящиеся к аккаунту, чтобы они были в нем, чтобы использовать их в качестве примера.
Ошибка Apache: [файл ""] [] [] [клиент xxx.xxx.xxx.xxx] ModSecurity: Доступ запрещен кодом 403 (фаза 2). Соответствующая фраза ".dat /" в TX: расширение. [файл ""] ["] [идентификатор" 210730 "] [версия" 2 "] [сообщение" COMODO WAF: Расширение файла URL ограничено политикой "] [данные" .dat "] [серьезность "КРИТИЧЕСКИЙ"] [имя хоста "удалено"] [uri "/wpad.dat"] [уникальный_id "WjFa06qDOW3DDPRieFmICgAAAEg"]