Атака на http сервер Apache, Постоянные запросы с IP из сети, Как избавиться?

Question

[HiNester]

Постоянно в файл access.log поступают различные записи (вот несколько для примера):

163.172.44.79 - - [10/Nov/2021:16:24:42 +1200] "GET https://nanqiang.vip/ HTTP/1.1" 200 879 "-" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; Googlebot/2.1; +www.google.com/bot.html) Safari/537.36"

163.172.44.79 - - [10/Nov/2021:16:24:42 +1200] "GET https://nanqiang.vip/ HTTP/1.1" 200 879 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/67.0.3599.0 Safari/537.36"

95.182.120.9 - - [10/Nov/2021:16:24:42 +1200] "CONNECT m.youtube.com:443 HTTP/1.1" 405 224 "-" "-"

140.207.201.152 - - [10/Nov/2021:16:24:42 +1200] "HEAD httpbin.org HTTP/1.1" 200 - "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:34.0) Gecko/20100101 Firefox/34.0"

И их очень много, буквально за пару минут набегает на несколько мегабайт. Я думаю, что идёт какая-то атака, но в чём смысл этой атаки и как от них избавиться?

Comments

[Дядька Серёжа]

Так вы тексты запросов смотрите чтобы понять что происходит

[res2001]

Вообще в интернете всегда так - стоит выставить какой-либо сервис в интернет, тут же набегут какие-то боты, которые начнут пробовать сломать ваш сервис.
Смысл очень простой - найдут уязвимость, зальют свой код и будут использовать ваш сервер в каких-то своих "темных делишках", вы даже можете это не сразу обнаружить.

Answer 1

[Ищю в поисковиках]

1. Как выше упомянули - настройте прокси через cloudflare (оптимальный вариант)
2. Скорректируйте настройки сервера таким образом, чтобы получать запросы от cloudflare
3. Укажите методы, которые допускаются на сайте (get/post)
4. Можно скорректировать настройки fail2ban, чтобы особо рьяные любители отправлять что попало, летели на часик в бан.
5. Скорректируйте ротацию логов (не по времени, а по размеру, так диск не забьет )

Answer 2

[mtNATS]

https://www.cloudflare.com/

Answer 3

[ky0]

Варианта два с половиной:
1. Ваш IP-адрес раньше использовался для хостинга неких популярных сайтов, владельцы которых забыли изменить настроки DNS (маловероятно, но бывает).
2. Это стандартный интернет-спам сканеров уязвимостей.
2,5. Это действительно DDoS-атака.

С первым особо ничего делать не нужно - достаточно повесить в веб-сервере заглушку с 403 на запросы ко всем несуществующим доменам. Во втором случае - нужно смотреть, действительно ли это атака, и в этом случае, как минимум, банить по IP.

Comments

[HiNester]

Сегодня включил брандмауэр и заблокировал целый список IP адресов, которые скопировал из файла access.log, но через некоторое время пошли другие IP... Но меня интересует: что за запрос такой "GET yg3.xianganwuchen.cn HTTP/1.1" 403 199 " При обычном запросе GET идёт символ / и файл директории или название сайта, а здесь нет символа / и идёт ссылка на сторонний сайт. Я так понимаю, таким образом совершается переход по сторонней ссылке через мой сервер?

[ky0]

HiNester, нет, вы понимаете неправильно - это просто кривые запросы.

[Денис]

Ддос атаки исчисляется миллионами адресов источников. Это точно не ддос

Answer 4

[AUser0]

Судя по приведённым логам, ваш HTTP-сервер считает, что абсолютно все-все-все запросы предназачены ему. При этом он не отвечает 404-ой ошибкой на совершенно чужие имена доменов (например nanqiang.vip и httpbin.org). То есть у вас HTTP-сервер настроен в режиме "default server", когда запрос с абсолютно любым доменным именем считается приемлемым, и обрабатывается штатно (читаются файлы, генерируется содержимое, вся эта нагрузка на CPU).

Вам нужно настроить Apache на одно-два-три и т.д. конкретных доменных имени, что бы Apache полноценно обслуживал только их. А на все прочие доменные имена он будет мгновенно отвечать ошибкой 404.

Конечно это не избавить от таких спамеров, но так хотя-бы сервер будет настроен более правильно (будет меньше нагрузка на CPU), а спамеры будут получать мгновенный отлуп в виде ошибки.

P.S. Вполне возможно на вашем IP-адресе (очевидно на 80-ом порту) раньше работал proxy сервер. И те компьютеры в сети Интернет, которые были настроены на proxy на этом IP-адресе, до сих пор пытаются им пользоваться как proxy сервером. Правда полноценного хождения по WEB-сайтам через ваш сервер у них уже не получается, но они все равно пытаются (настройку пока не отменили). Остается терпеть... Или сменить IP-адрес. Или перейти на 443-ий порт.