Przez kilka ostatnich dni blog mój cierpiał na niedobory. Brakowało mu głównie pamięci i procesora - co jest nieco dziwne biorąc pod uwagę, że VPS ma całkiem przyzwoite parametry, a sam blog rejestruje 300, góra 400 odsłon dziennie, z czego ponad trzy czwarte to boty, wyszukiwarki i inne crawlery. Tymczasem jednak loguję się do konsoli, odpalam htop, a tu CPU zużyte w 100%, pamięć w 60%, niedopsz. Do tego Uptime Robot mi co chwilę raportuje, że blog padł, a zaraz potem, że wstał. Sesja ssh ledwie zipie, raz i drugi musiałem nawet drania zrestartować z KVM-a, bo się nie szło wbić po normalności. No i czytelnicy (sztuk raz, ale będę udawał, że więcej) mi zaczęli zgłaszać, że blog nie działa.
Ki czort?
Zaglądam w logi Apacza i co widzę? Jakiś durny automacik próbuje pościągać wszystkie wpisy na raz, generując dziesiątki odsłon na sekundę do losowo wybranych wpisów. Szybkie kopiuj-wklej na https://whatismyipaddress.com i wychodzi na to, że delikwent jest z Teksasu, z chmury GC (Google Compute).
No to zaraz iptables -A INPUT -s 34.174.173.180 -j DROP, zaglądam jeszcze raz do htop - nic się nie poprawiło. W logach Apacza dalej mnóstwo ruchu. Szybkie awk na /var/www/apache2/access.log pogrupowane po adresach IP i okazuje się, że większość tych adresów zaczyna się od 34.174. Niewiele myśląc, zapuściłem więc iptables -A INPUT -s 34.174.0.0/16 -j DROP, sprawdziłem w htop - cisza, spokój, tylko biegusów brakuje.
Skoro działa, to na wszelki wypadek jeszcze szybkie netfilter-persistent save - i po zabawie.
Podejście trochę może toporne ("Zabijcie wszystkich. Bóg rozpozna swoich." - kojarzy ktoś?), ale że jestem leniwa klucha, zostawiam jak jest.
Obstawiam, że to jakieś popłuczyny po niedawnych atakach na Cloudflare, do których użyto m. in. właśnie chmury obliczeniowej Google - ale tak naprawdę to nie wiem. Nie podejrzewam, żeby był to atak targetowany. Prawie na pewno oberwało mi się rykoszetem, bo się pechowo znalazłem w niewłaściwym segmencie IP.
No i fajnie.
Co to za dziwną stronę linkujesz? Same przekierowania na dziwne strony (najpierw capha od CF, a potem „zezwól na powiadomienia, by potwierdzić iż nie jesteś botem” lub jakieś strony promujące World of Tank.
Najmocniej przepraszam, palec mi się omskł. Już skorygowane 🙂
Ja ci tam mogę dużo ruchu mogę robić, więc jeśli masz coś z końcówki 50.51 to ja.
No ale chyba nie 10 wejść na sekundę?