Wie blockiere ich mysteriöse Remote-Anfragen?

12

Auf meinem CentOS-Server sind große (Millionen pro Tag) Anfragen aufgetreten, die wie folgt aussehen:

Srv PID Acc M   CPU SS  Req Conn    Child   Slot    Client  Protocol    VHost   Request
62-1    -   0/0/335 .   0.00    1947    204049  0.0 0.00    0.85    104.248.57.218  http/1.1    www.myrealdomain.co.uk:80   GET http://218.22.14.198/index HTTP/1.1

Die Anfrage sieht so aus, als würde mein Server Zeit damit verbringen, Inhalte von anderen Seiten zu liefern oder abzurufen. Ich habe versucht, die IPs zu blockieren, wodurch die Quelle nur neue IPs verschlüsselt (sowohl für den Client als auch für die Anforderungs-IP), ohne Erfolg.

Ich habe sogar Cloudflare für hohe Sicherheit, einschließlich der Web-App-Firewall, aber diese Anfragen kommen immer noch in Scharen.

Kann jemand erklären, warum diese angefordert werden und was noch wichtiger ist, wie sie insgesamt verhindert werden können.

Auf dem Server laufen ungefähr 50 Sites, die alle Grundkonfiguration von WordPress haben, und es ist ein dedizierter Server.

firewall  bad-request 
Nils Munch
quelle
In Anbetracht der Antwort von faker kann es möglicherweise von Vorteil sein, weitere Details, z. B. relevante Konfigurationsdateien, mitzuteilen. Welche Software verwenden Sie, welche Dienste führen Sie usw. aus?
Tommiie
Haben Sie die Verkehrsgrafiken / -protokolle überprüft, um festzustellen, wann der Verkehrsanstieg stattgefunden hat? Dies kann Sie auf ein Datum hinweisen, an dem es falsch konfiguriert / verletzt wurde.
Criggie
Verwenden Sie fail2ban, das sie für einen bestimmten Zeitraum automatisch blockiert.
Chloe
fail2ban bekämpft das Symptom und nicht die Ursache. Wenn ich recht habe, würde es nicht einmal etwas blockieren.
Fälscher

Antworten:

23

Es ist schwer zu sagen, was genau hier los ist. Wie auch immer Sie sagen:

Die Anfrage sieht so aus, als würde mein Server Zeit damit verbringen, Inhalte von anderen Seiten zu liefern oder abzurufen.

Zusammen mit dem "GET http://218.22.14.198/index " klingt dies so, als hätten Sie Ihr System falsch konfiguriert und führen versehentlich einen offenen Proxy aus, der missbraucht wird.
Grundsätzlich verwenden andere Systeme Ihr System jetzt als Proxy, normalerweise, um ihre IP-Adresse zu verbergen und nicht genau die Dinge zu tun, mit denen Sie in Verbindung gebracht werden möchten.
Sie sollten so schnell wie möglich untersuchen, ob dies der Fall ist.
Eine Firewall-Regel ist hier nur ein Bandaid und nicht die wirkliche Lösung.

In diesem Fall müssen Sie Ihr System neu konfigurieren, damit es kein offener Proxy mehr ist. Es hängt von Ihrer spezifischen Webserverkonfiguration ab, wie das geht.

Weitere Informationen zum Beispiel zu Apache httpd:
https://wiki.apache.org/httpd/ProxyAbuse

Schwindler
quelle
2
Sieht so aus, als ob Sie mit Proxy-Missbrauch genau richtig liegen. Dies ist der Weg, den ich gerade beschreite.
Nils Munch
Durch die Nutzung unserer Website bestätigen Sie, dass Sie unsere Cookie-Richtlinie und Datenschutzrichtlinie gelesen und verstanden haben.
Licensed under cc by-sa 3.0 with attribution required.