神秘的なリモートリクエストをブロックする方法は?

12

私のCentOSサーバーは、次のような巨大な(1日数百万)リクエストを経験しています。

Srv PID Acc M   CPU SS  Req Conn    Child   Slot    Client  Protocol    VHost   Request
62-1    -   0/0/335 .   0.00    1947    204049  0.0 0.00    0.85    104.248.57.218  http/1.1    www.myrealdomain.co.uk:80   GET http://218.22.14.198/index HTTP/1.1

リクエストは、サーバーが他のページコンテンツの提供または取得に時間を費やしているように見えます。IPをブロックしようとしましたが、これはソースが新しいIP(クライアントと要求IPの両方)をスクランブルするだけで成功しませんでした。

Webアプリのファイアウォールなど、Cloudflareの安全性も高くなっていますが、これらのリクエストは依然として多く寄せられています。

誰もがこれらがなぜ要求されているのか、さらに重要なことには、それを完全に防ぐ方法を説明できますか?

サーバーは、WordPressのすべての基本設定で約50のサイトを実行しており、専用サーバーです。

firewall  bad-request 
ニルス・ムンク
ソース
フェイカーの答えを考えると、関連する構成ファイルなどの詳細を共有することが有益な場合があります。使用しているソフトウェア、実行しているサービスなど
トミー家
トラフィックのグラフ/ログをチェックして、トラフィックの増加がいつ発生したかを確認しましたか?これは、設定の誤りや違反が発生した日付を示す場合があります。
クリギー
特定の期間、それらを自動的にブロックするfail2banを使用します。
クロエ
fail2banは原因ではなく症状と戦います。私が正しいなら、それは何もブロックしません。
フェイカー

回答:

23

ここで何が起こっているのか正確に言うのは難しいです。ただし、次のように述べます。

リクエストは、サーバーが他のページコンテンツの提供または取得に時間を費やしているように見えます。

これと「GET http://218.22.14.198/index」は、システムの設定を誤っており、誤ってオープンプロキシを実行しているため、悪用されています。
基本的に、他のシステムは現在、システムをプロキシとして使用しており、通常はIPアドレスを非表示にし、関連付けたいことを正確に実行していません。
その場合は、できるだけ早く調査する必要があります。
ここでのファイアウォールルールは単なる絆創膏であり、実際のソリューションではありません。

場合はこれが事実である-との情報を提供し、言うことは不可能です-あなたは、オープンプロキシであることを停止するようにシステムを再構成する必要があります。それを行う方法は、特定のWebサーバー構成によって異なります。

Apache httpdの例の詳細:https :
//wiki.apache.org/httpd/ProxyAbuse

偽物
ソース
2
プロキシの不正使用に気付いているようです。これが現在調査中の道です。
ニルス・ムンク
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.