Jak zablokować tajemnicze zdalne żądania?

12

Mój serwer CentOS ma ogromne (miliony dziennie) żądania wyglądające tak:

Srv PID Acc M   CPU SS  Req Conn    Child   Slot    Client  Protocol    VHost   Request
62-1    -   0/0/335 .   0.00    1947    204049  0.0 0.00    0.85    104.248.57.218  http/1.1    www.myrealdomain.co.uk:80   GET http://218.22.14.198/index HTTP/1.1

Żądanie wygląda na to, że mój serwer spędza czas na podawaniu lub uzyskiwaniu zawartości innych stron. Próbowałem zablokować adresy IP, co powoduje, że źródło szyfruje nowe adresy IP (zarówno dla klienta, jak i adresu IP żądania) i bez powodzenia.

Mam nawet Cloudflare na wysokim poziomie bezpieczeństwa, w tym ich zaporę ogniową do aplikacji internetowych, ale te żądania wciąż są ogromne.

Czy ktoś może wyjaśnić, dlaczego są one wymagane, a co ważniejsze, jak całkowicie temu zapobiec.

Serwer obsługuje około 50 witryn z podstawową konfiguracją WordPress i jest serwerem dedykowanym.

firewall  bad-request 
Nils Munch
źródło
Biorąc pod uwagę odpowiedź twórcy, być może warto udostępnić więcej szczegółów, takich jak odpowiednie pliki konfiguracyjne. Z jakiego oprogramowania korzystasz, z jakich usług korzystasz itp.?
Tommiie,
Czy sprawdziłeś wykresy / dzienniki ruchu, aby zobaczyć, kiedy nastąpił wzrost ruchu? Może to wskazywać na datę błędnej konfiguracji / naruszenia.
Criggie,
Użyj fail2ban, który automatycznie blokuje je na określony czas.
Chloe
fail2ban będzie walczył z objawem, a nie przyczyną. Jeśli mam rację, to nawet niczego nie zablokuje.
sfałszowany

Odpowiedzi:

23

Trudno powiedzieć, co dokładnie się tutaj dzieje. Jednak stwierdzasz:

Żądanie wygląda na to, że mój serwer spędza czas na podawaniu lub uzyskiwaniu zawartości innych stron.

To razem z „GET http://218.22.14.198/index ” brzmi, jakbyś źle skonfigurował swój system i przypadkowo uruchamiasz otwarte proxy, które jest nadużywane.
Zasadniczo inne systemy używają teraz twojego systemu jako serwera proxy, zwykle do ukrycia swojego adresu IP i niezupełnie robiąc rzeczy, z którymi chcesz się kojarzyć.
Powinieneś jak najszybciej zbadać, czy tak jest.
Reguła zapory to tutaj tylko bandaid, a nie prawdziwe rozwiązanie.

Jeśli tak jest - a przy podanych informacjach nie można tego stwierdzić - należy ponownie skonfigurować system, aby przestał być otwartym serwerem proxy. Jak to zrobić, zależy od konkretnej konfiguracji serwera WWW.

Więcej informacji na przykład dla Apache httpd:
https://wiki.apache.org/httpd/ProxyAbuse

oszust
źródło
2
Wygląda na to, że jesteś ofiarą nadużyć przez proxy, to jest droga, którą teraz idę badać.
Nils Munch
Korzystając z naszej strony potwierdzasz, że przeczytałeś(-aś) i rozumiesz nasze zasady używania plików cookie i zasady ochrony prywatności.
Licensed under cc by-sa 3.0 with attribution required.