Martelado por botnet; iptables não conseguem acompanhar [duplicado]

Navegue suas respostas
1

Fructis é uma VM (Xen) multi-site (e multi-software) com 2 núcleos e como 6G de RAM.

Ele hospeda sites populares de Drupal e Wordpress e atualmente está recebendo martelado. Vou colocar todos os detalhes abaixo.

  1. Eu tenho bloqueado IPs, mas parece ser muito agressivo rede bot e principalmente muda IPs mais rápido do que eu posso bloqueá-los

  2. Atualizei o Drupal, mas todos os sites do Wordpress não são necessariamente gerenciado por mim.

  3. Já habilitei logs para o TS, mas eles não parecem estar ajudando

  4. Talvez a resposta seja entender quais tipos de ataques de bots são comum ultimamente / agora? Para esse fim, link pode ter informações úteis

Detalhes: 

root@fructis:/home/nrogara# w
09:28:05 up 10 days,  1:55,  2 users,  load average: 31.10, 30.61, 32.31
USER     TTY      FROM             LOGIN@   IDLE   JCPU   PCPU WHAT
nrogara  pts/0    c-24-7-67-188.hs Wed13    1:01m  0.18s  0.00s sshd:
nrogara [priv]
nrogara  pts/1    142-254-1-80.dsl 09:00    5.00s  0.06s  0.01s sshd:
nrogara [priv]

root@fructis:/home/nrogara# !net
netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 |
sort | uniq -c | sort -nr | head
     12 72.37.249.84
     12 162.243.193.98
      7 91.207.5.157
      7 74.73.126.40
      4 184.73.22.102
      3 94.102.49.35
      3 199.255.208.91
      3 195.211.154.155
      3 174.21.231.10
      3 108.62.154.15

(novamente 2 minutos depois) 

root@fructis:/home/nrogara# netstat -tn 2>/dev/null | grep :80 | awk
'{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head
     10 95.26.128.85
      6 67.170.85.225
      5 195.2.240.106
      4 24.7.67.188
      4 216.246.184.159
      3 206.51.125.66
      2 91.122.6.86
      2 79.143.187.214
      2 72.46.156.116
      2 50.115.172.177
    
por kennethsime 10.07.2014 / 21:25

1 resposta

5

Você obviamente não pode acompanhar esse tipo de ataque manualmente . Se eles tiverem muitos endereços IP, isso não funcionará.

Você já analisou o que os bots estão fazendo ? Eles estão tentando enviar spam? Raspando seu conteúdo da web? Tentando um DDoS?

Um tempo atrás eu desenvolvi uma ferramenta para lidar com casos não muito diferentes no nível do aplicativo. Comportamento incorreto analisa os metadados em solicitações HTTP para determinar se uma solicitação é provável que seja um spammer ou outro invasor e bloqueia a solicitação com um erro inicial de 403 antes de vincular quaisquer recursos que estejam executando seu aplicativo da web. Ele está disponível como um plug-in do WordPress e também como um módulo Drupal .

O Bad Behavior será quase certamente uma ajuda significativa se os bots estiverem tentando enviar spam, copiar seu site, investigar vulnerabilidades de segurança ou tentar logotipos de força bruta. Se eles estão apenas fazendo um simples DDoS, provavelmente não vai ajudar muito.

Outra coisa que você pode fazer é certificar-se de que você está fazendo o cache adequadamente. Por exemplo, Impulsionar o Drupal e W3 Total Cache para o WordPress. Isso ajudará um pouco, mas se os bots estiverem rastreando seu site, eles gastarão muito do seu tempo buscando conteúdo não armazenado em cache, portanto, isso não ajudará muito nesse caso. Também não ajudará muito se os bots estiverem postando dados principalmente, por exemplo, tentando postar spam.

Você também deve, se possível, aumentar temporariamente as alocações de CPU e RAM para a máquina virtual, para ajudar a aliviar alguma pressão. Isso pode exigir que você pare e reinicie a máquina virtual, mas, nesse ponto, isso é um problema menor.

Eu também tenho ocasionalmente escrito regexes fail2ban personalizados para bots específicos que estavam fazendo coisas particulares abusivas, como tentativas repetidas de registro contas de usuário no Drupal. Se a sua análise dos registros do servidor indicar que algo muito específico está acontecendo, você também poderá fazer algo assim.

    
por 10.07.2014 / 22:07

Tags

Memória RAM muito alta em processos HTTPD SSH sobre HTTPS por meio do haproxy