Bagaimana cara memblokir permintaan jarak jauh yang misterius?

12

Server CentOS saya mengalami permintaan sangat besar (jutaan per hari) seperti ini:

Srv PID Acc M   CPU SS  Req Conn    Child   Slot    Client  Protocol    VHost   Request
62-1    -   0/0/335 .   0.00    1947    204049  0.0 0.00    0.85    104.248.57.218  http/1.1    www.myrealdomain.co.uk:80   GET http://218.22.14.198/index HTTP/1.1

Permintaannya tampak seperti server saya menghabiskan waktu melayani atau mendapatkan konten halaman lain. Saya mencoba memblokir IP, yang hanya membuat sumber berebut IP baru (baik untuk klien dan IP permintaan) dan tidak berhasil.

Saya bahkan memiliki Cloudflare dengan keamanan tinggi termasuk firewall aplikasi web mereka, namun permintaan ini masih datang berbondong-bondong.

Adakah yang bisa menjelaskan mengapa ini diminta, dan yang lebih penting, bagaimana mencegahnya sama sekali.

Server menjalankan sekitar 50 situs semua konfigurasi dasar WordPress, dan ini adalah server khusus.

firewall  bad-request 
Nils Munch
sumber
Dengan jawaban pemalsunya, mungkin bermanfaat untuk membagikan detail lebih lanjut, seperti file konfigurasi yang relevan. Perangkat lunak apa yang Anda gunakan, layanan apa yang Anda jalankan, dll?
Tommiie
Sudahkah Anda memeriksa grafik / log lalu lintas untuk melihat kapan peningkatan lalu lintas terjadi? Ini dapat mengarahkan Anda pada tanggal ketika itu salah konfigurasi / dilanggar.
Criggie
Gunakan fail2ban yang memblokirnya secara otomatis untuk periode waktu tertentu.
Chloe
fail2ban akan melawan gejala bukan penyebabnya. Jika saya benar, itu bahkan tidak akan memblokir apa pun.
faker

Jawaban:

23

Sulit mengatakan apa sebenarnya yang terjadi di sini. Namun Anda menyatakan:

Permintaannya tampak seperti server saya menghabiskan waktu melayani atau mendapatkan konten halaman lain.

Ini bersama-sama dengan "DAPATKAN http://218.22.14.198/index " terdengar seperti Anda telah salah mengonfigurasi sistem Anda dan secara tidak sengaja menjalankan proxy terbuka yang disalahgunakan.
Pada dasarnya sistem lain sekarang menggunakan sistem Anda sebagai proxy, biasanya untuk menyembunyikan alamat IP mereka dan tidak melakukan hal-hal yang ingin dikaitkan dengan Anda.
Anda harus secepatnya menyelidiki apakah ini masalahnya.
Aturan firewall di sini hanyalah bandaid dan bukan solusi nyata.

Jika ini masalahnya - dan dengan informasi yang diberikan tidak mungkin untuk diceritakan - Anda perlu mengkonfigurasi ulang sistem Anda untuk berhenti menjadi proxy terbuka. Itu tergantung pada konfigurasi server web spesifik Anda bagaimana melakukannya.

Informasi lebih lanjut misalnya untuk Apache httpd:
https://wiki.apache.org/httpd/ProxyAbuse

pemalsu
sumber
2
Sepertinya Anda tepat dengan penyalahgunaan proxy, itulah jalan yang saya turuni sekarang sedang menyelidiki.
Nils Munch
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.