Como bloquear solicitações remotas misteriosas?

12

Meu servidor CentOS está recebendo solicitações enormes (milhões por dia) da seguinte forma:

Srv PID Acc M   CPU SS  Req Conn    Child   Slot    Client  Protocol    VHost   Request
62-1    -   0/0/335 .   0.00    1947    204049  0.0 0.00    0.85    104.248.57.218  http/1.1    www.myrealdomain.co.uk:80   GET http://218.22.14.198/index HTTP/1.1

A solicitação parece que meu servidor está gastando tempo servindo ou obtendo conteúdo de outras páginas. Tentei bloquear os IPs, o que apenas faz com que a fonte embarque novos IPs (tanto para o cliente quanto para o IP de solicitação) e sem sucesso.

Eu ainda tenho o Cloudflare em alta segurança, incluindo o firewall de aplicativos da web, mas esses pedidos ainda vêm em massa.

Alguém pode explicar por que eles são solicitados e, mais importante, como evitá-lo completamente.

O servidor está executando cerca de 50 sites, com todas as configurações básicas do WordPress, e é um servidor dedicado.

Nils Munch
fonte
Dada a resposta do Faker, talvez seja benéfico compartilhar mais detalhes, como arquivos de configuração relevantes. Qual software você está usando, quais serviços você está executando, etc?
Tommiie
Você verificou os gráficos / logs de tráfego para ver quando o aumento do tráfego ocorreu? Isso pode indicar uma data em que foi configurada / violada incorretamente.
Criggie
Use fail2ban, que os bloqueia automaticamente por um determinado período de tempo.
Chloe
fail2ban combaterá o sintoma e não a causa. Se eu estiver certo, isso nem bloqueará nada.
faker

Respostas:

23

É difícil dizer o que exatamente está acontecendo aqui. No entanto, você declara:

A solicitação parece que meu servidor está gastando tempo servindo ou obtendo conteúdo de outras páginas.

Isso, juntamente com o "GET http://218.22.14.198/index ", parece que você configurou incorretamente o sistema e está executando acidentalmente um proxy aberto que está sendo abusado.
Basicamente, outros sistemas agora estão usando seu sistema como proxy, geralmente para ocultar o endereço IP e não exatamente fazer as coisas com as quais você deseja estar associado.
Você deve investigar o mais rápido possível se esse for o caso.
Uma regra de firewall aqui é apenas uma bandaid e não a solução real.

E se esse o caso - e com as informações fornecidas, é impossível saber - você precisa reconfigurar o sistema para deixar de ser um proxy aberto. Depende da configuração específica do servidor da web como fazer isso.

Mais informações, por exemplo, para o Apache httpd:
https://wiki.apache.org/httpd/ProxyAbuse

falsificador
fonte
2
Parece que você está no local com abuso de procuração, é esse o caminho que estou investigando agora.
Nils Munch