El servidor web Apache detrás del firewall es una víctima de abuso de proxy y no puede usar fail2ban para resolverlo

5

Tenemos un nuevo cliente con un servidor web que está recibiendo demasiado abuso de proxy. El access_log está lleno de este tipo de líneas:

64.187.XXX.XXX - - [12/May/2015:10:32:10 -0300] "GET https://ads.exoclick.com:443/ads.js HTTP/1.0" 404 204 "http://www.salefutures.com/?p=1349" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.0 (KHTML, like Gecko) Chrome/4.0.206.1 Safari/532.0"

Obviamente pensé primero en fail2ban para prohibir a través de IPtables todas las IP ofensivas, y sí, funcionó, pero estamos recibiendo tantas solicitudes que fail2ban comenzó a comer RAM como locos.

Además, fail2ban funciona bien prohibiendo las IP, pero el problema es que este servidor web es una máquina virtual muy limitada en recursos y detrás hay un firewall D-Link DFL-2560G.

La cuestión es que este tipo de solicitudes se generan en la Capa 7 (a medida que HTTP va en la capa de aplicaciones) y está resultando muy difícil filtrar este tipo de solicitudes antes de que lleguen al servidor web. Además, el módulo de filtrado de aplicaciones de este servidor necesita una licencia que no es comprada por el cliente, por lo que me deja con muy pocas opciones, y realmente no sé por dónde empezar.

¿Puede alguien darme algunas ideas?

    
pregunta oscillat0r 20.05.2015 - 21:25
fuente

1 respuesta

2

Evalúe mod_security: consulte enlace .

No sé si hay reglas que ayuden con el problema de OP; si las hay, por supuesto, úselas. Si no las reglas se escriben fácilmente. Desactive las reglas que no son aplicables para reducir el impacto negativo en el rendimiento que causará el módulo.

Un beneficio adicional sería el del marco general de Firewall de aplicaciones web. Es posible que necesite protecciones adicionales que Fail2Ban puede no ayudar a cumplir.

    
respondido por el user1801810 06.06.2015 - 03:21
fuente

Lea otras preguntas en las etiquetas