ДДОС на сайт через WordPress?

Question

[SKRSKR]

Начался ддос 40 мин назад, нашел мануалы в инете как по iptables запретить но не получилось, файл access.log весит 370гб, и каждую минуту на 400мб растет, сайт открывается через раз, что делать? в логах запросы такого типа:

68.151.232.*** - - [22/Oct/2016:20:30:52 +0200] "GET / HTTP/1.0" 200 20761 "-" "WordPress/4.5.4; http://bjshilling.ca; verifying pingback from 191.96.249**"

загрузка канала 950+ мбит, сама консоль сервера нормально работает, цп загружен на 320% с 800% возможных (цп i7 3770), защита от L3/L4 атак есть но не от L7, что делать?
софт nginx + apache + mysql как я понял запросы до apache не доходят
p.s. пока поставил parlamnet migration в ovh и iptables -A INPUT -p tcp --syn --dport 80 -m connlimit --connlimit-above 1 -j REJECT но сайт открывается через раз

Answer 1

[sx66627]

Вы что, наркоманы?

Через nginx лечится всего одним правилом:
if ($http_user_agent ~* ^(WordPress.*) ){
return 444;
}

Какой забитый канал? Это http флуд, который легче всего погасить) И не нужны никакие стороние сервисы, защиты и т.д. Если только деньги некуда девать.

Comments

[Андрей]

Всё верно. Лучше отдавать 403ую перед этим сделать 403ую страницу html-ку обычную.
error_page 403 = http(s)://mysite.com/403.html;
if ( $http_user_agent ~* (LWP::Simple|BBBike|XSpider|OpenVas|Zeus|DirBuster|acunetix|BTWebClient|nmap|nikto|wikto|sf|sqlmap|bsqlbf|w3af|acunetix|havij|appscan|WordPress) ) {
return 403;
}

[sx66627]

Андрей: Да, но все зависит от ситуации. В каких-то случаях можно отдавать 403. А в каких-то лучше 444. 444 - после отдачи в заголовке кода, nginx сразу сбрасывает соединение, без отдачи тела документа. В отличии от 403, который отдает и тело (в данном примере 403 html).

[Андрей]

если банишь то 444 если нет то токо 403. тело html страницы минимальное с паром тегов ничего не сделает.

Answer 2

[Александр Александрович]

Не уверен, что следующие действия принесут большие плоды:
1. Попробуйте включить возможность лимитировать соединения на Nginx

limit_conn_zone $binary_remote_addr zone=perip:10m;

2. Включите аналогичные действия, но со стороны iptables

-A INPUT-p tcp --dport 80 -m iplimit --iplimit-above 10 -j REJECT

Comments

[sx66627]

Он даже не указал послностью, что в nginx надо сделать для ограничения кол-ва коннектов. А решение с iptables еще хуже.

Answer 3

[Erelecano Oioraen]

iptables -A INPUT -p tcp -m tcp --dport 80 -m string --string "WordPress" --algo kmp --to 65535 -j DROP
iptables -A INPUT -p tcp -m tcp --dport 443 -m string --string "WordPress" --algo kmp --to 65535 -j DROP