Atak z Teksasu

https://xpil.eu/wv4h4

Przez kilka ostatnich dni blog mój cierpiał na niedobory. Brakowało mu głównie pamięci i procesora - co jest nieco dziwne biorąc pod uwagę, że VPS ma całkiem przyzwoite parametry, a sam blog rejestruje 300, góra 400 odsłon dziennie, z czego ponad trzy czwarte to boty, wyszukiwarki i inne crawlery. Tymczasem jednak loguję się do konsoli, odpalam htop, a tu CPU zużyte w 100%, pamięć w 60%, niedopsz. Do tego Uptime Robot mi co chwilę raportuje, że blog padł, a zaraz potem, że wstał. Sesja ssh ledwie zipie, raz i drugi musiałem nawet drania zrestartować z KVM-a, bo się nie szło wbić po normalności. No i czytelnicy (sztuk raz, ale będę udawał, że więcej) mi zaczęli zgłaszać, że blog nie działa.

Ki czort?

Zaglądam w logi Apacza i co widzę? Jakiś durny automacik próbuje pościągać wszystkie wpisy na raz, generując dziesiątki odsłon na sekundę do losowo wybranych wpisów. Szybkie kopiuj-wklej na https://whatismyipaddress.com i wychodzi na to, że delikwent jest z Teksasu, z chmury GC (Google Compute).

No to zaraz iptables -A INPUT -s 34.174.173.180 -j DROP, zaglądam jeszcze raz do htop - nic się nie poprawiło. W logach Apacza dalej mnóstwo ruchu. Szybkie awk na /var/www/apache2/access.log pogrupowane po adresach IP i okazuje się, że większość tych adresów zaczyna się od 34.174. Niewiele myśląc, zapuściłem więc iptables -A INPUT -s 34.174.0.0/16 -j DROP, sprawdziłem w htop - cisza, spokój, tylko biegusów brakuje.

Skoro działa, to na wszelki wypadek jeszcze szybkie netfilter-persistent save - i po zabawie.

Podejście trochę może toporne ("Zabijcie wszystkich. Bóg rozpozna swoich." - kojarzy ktoś?), ale że jestem leniwa klucha, zostawiam jak jest.

Obstawiam, że to jakieś popłuczyny po niedawnych atakach na Cloudflare, do których użyto m. in. właśnie chmury obliczeniowej Google - ale tak naprawdę to nie wiem. Nie podejrzewam, żeby był to atak targetowany. Prawie na pewno oberwało mi się rykoszetem, bo się pechowo znalazłem w niewłaściwym segmencie IP.

No i fajnie.

https://xpil.eu/wv4h4

4 komentarze

  1. Co to za dziwną stronę linkujesz? Same przekierowania na dziwne strony (najpierw capha od CF, a potem „zezwól na powiadomienia, by potwierdzić iż nie jesteś botem” lub jakieś strony promujące World of Tank.

Leave a Comment

Komentarze mile widziane.

Jeżeli chcesz do komentarza wstawić kod, użyj składni:
[code]
tutaj wstaw swój kod
[/code]

Jeżeli zrobisz literówkę lub zmienisz zdanie, możesz edytować komentarz po jego zatwierdzeniu.