Come bloccare misteriose richieste remote?

12

Il mio server CentOS presenta enormi richieste (milioni al giorno) in questo modo:

Srv PID Acc M   CPU SS  Req Conn    Child   Slot    Client  Protocol    VHost   Request
62-1    -   0/0/335 .   0.00    1947    204049  0.0 0.00    0.85    104.248.57.218  http/1.1    www.myrealdomain.co.uk:80   GET http://218.22.14.198/index HTTP/1.1

La richiesta sembra che il mio server stia trascorrendo del tempo a pubblicare o ottenere contenuti di altre pagine. Ho provato a bloccare gli IP, il che rende la fonte solo confusa con nuovi IP (sia per il client che per l'IP della richiesta) e senza successo.

Ho persino Cloudflare in massima sicurezza, incluso il firewall delle loro app Web, eppure queste richieste arrivano ancora in massa.

Qualcuno può spiegare perché questi sono richiesti e, soprattutto, come prevenirli del tutto.

Il server esegue circa 50 siti con tutte le configurazioni di base di WordPress ed è un server dedicato.

firewall  bad-request 
Nils Munch
fonte
Data la risposta del falso, forse può essere utile condividere maggiori dettagli, come i file di configurazione pertinenti. Quale software stai usando, quali servizi stai eseguendo, ecc.?
Tommiie,
Hai controllato i grafici / i registri del traffico per vedere quando si è verificato l'aumento del traffico? Questo potrebbe indicare una data in cui è stato configurato / violato male.
Criggie il
Utilizzare fail2ban che li blocca automaticamente per un determinato periodo di tempo.
Chloe,
fail2ban combatterà il sintomo non la causa. Se ho ragione, non bloccherebbe nemmeno nulla.
falso

Risposte:

23

È difficile dire cosa stia succedendo esattamente qui. Comunque dichiari:

La richiesta sembra che il mio server stia trascorrendo del tempo a pubblicare o ottenere contenuti di altre pagine.

Questo insieme al "OTTIENI http://218.22.14.198/index " sembra che tu abbia configurato male il tuo sistema e stia eseguendo accidentalmente un proxy aperto che viene abusato.
Fondamentalmente altri sistemi ora stanno usando il tuo sistema come proxy, di solito per nascondere il loro indirizzo IP e non esattamente facendo le cose a cui vuoi essere associato.
Dovresti indagare il prima possibile se questo è il caso.
Una regola firewall qui è solo un cerotto e non la vera soluzione.

Se questo caso - e con le informazioni fornite è impossibile dirlo - è necessario riconfigurare il sistema per smettere di essere un proxy aperto. Dipende dalla tua specifica configurazione del server web come farlo.

Ulteriori informazioni, ad esempio, per Apache httpd:
https://wiki.apache.org/httpd/ProxyAbuse

impostore
fonte
2
Sembra che tu sia a posto con gli abusi di procura, questa è la strada che sto percorrendo ora su cui sto indagando.
Nils Munch,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.