Przez kilka ostatnich dni blog mój cierpiał na niedobory. Brakowało mu głównie pamięci i procesora - co jest nieco dziwne biorąc pod uwagę, że VPS ma całkiem przyzwoite parametry, a sam blog rejestruje 300, góra 400 odsłon dziennie, z czego ponad trzy czwarte to boty, wyszukiwarki i inne crawlery. Tymczasem jednak loguję się do konsoli, odpalam htop, a tu CPU zużyte w 100%, pamięć w 60%, niedopsz. Do tego Uptime Robot mi co chwilę raportuje, że blog padł, a zaraz potem, że wstał. Sesja ssh ledwie zipie, raz i drugi musiałem nawet drania zrestartować z KVM-a, bo się nie szło wbić po normalności. No i czytelnicy (sztuk raz, ale będę udawał, że więcej) mi zaczęli zgłaszać, że blog nie działa.
Ki czort?
Zaglądam w logi Apacza i co widzę? Jakiś durny automacik próbuje pościągać wszystkie wpisy na raz, generując dziesiątki odsłon na sekundę do losowo wybranych wpisów. Szybkie kopiuj-wklej na https://whatismyipaddress.com i wychodzi na to, że delikwent jest z Teksasu, z chmury GC (Google Compute).
No to zaraz iptables -A INPUT -s 34.174.173.180 -j DROP, zaglądam jeszcze raz do htop - nic się nie poprawiło. W logach Apacza dalej mnóstwo ruchu. Szybkie awk na /var/www/apache2/access.log pogrupowane po adresach IP i okazuje się, że większość tych adresów zaczyna się od 34.174. Niewiele myśląc, zapuściłem więc iptables -A INPUT -s 34.174.0.0/16 -j DROP, sprawdziłem w htop - cisza, spokój, tylko biegusów brakuje.
Skoro działa, to na wszelki wypadek jeszcze szybkie netfilter-persistent save - i po zabawie.
Podejście trochę może toporne ("Zabijcie wszystkich. Bóg rozpozna swoich." - kojarzy ktoś?), ale że jestem leniwa klucha, zostawiam jak jest.
Obstawiam, że to jakieś popłuczyny po niedawnych atakach na Cloudflare, do których użyto m. in. właśnie chmury obliczeniowej Google - ale tak naprawdę to nie wiem. Nie podejrzewam, żeby był to atak targetowany. Prawie na pewno oberwało mi się rykoszetem, bo się pechowo znalazłem w niewłaściwym segmencie IP.
No i fajnie.
Co to za dziwną stronę linkujesz? Same przekierowania na dziwne strony (najpierw capha od CF, a potem „zezwól na powiadomienia, by potwierdzić iż nie jesteś botem” lub jakieś strony promujące World of Tank.
Najmocniej przepraszam, palec mi się omskł. Już skorygowane 🙂
Ja ci tam mogę dużo ruchu mogę robić, więc jeśli masz coś z końcówki 50.51 to ja.
No ale chyba nie 10 wejść na sekundę?
Nie, ale nigdy nie wiadomo kiedy zacznie blokować mniejszy ruch 😛
Nieraz w trakcie jakiś alertów, czy filtrowania ruchu obserwowałem, że nie ma sensu wycinanie maski /24, tylko od razu ładuję już /16. Blokowanie w przypadku maski 24 kończy się tym, że i tak coś nowego się pojawia.
Zamiast ręcznie filtrować ruch, polecam zainteresować się dodatkowymi aplikacjami, jak np. fail2ban (dawniej używałem) albo CSF (obecnie używam). Fajnie się sprawdza i automatycznie filtruje logi (predefiniowane konfigi też są okej). Jeśli coś podejrzanego się pojawia – blokuje wg ustawień (tutaj po 3 temp blockach po masce /24 zakłada mi blokadę na /16).
Fajnie się sprawdza, tym bardziej, że też widziałem że masz poblokowane porty wszystkie poza 80 i 443 w świat ;).