Tenemos un nuevo cliente con un servidor web que está recibiendo demasiado abuso de proxy. El access_log está lleno de este tipo de líneas:
64.187.XXX.XXX - - [12/May/2015:10:32:10 -0300] "GET https://ads.exoclick.com:443/ads.js HTTP/1.0" 404 204 "http://www.salefutures.com/?p=1349" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.0 (KHTML, like Gecko) Chrome/4.0.206.1 Safari/532.0"
Obviamente pensé primero en fail2ban para prohibir a través de IPtables todas las IP ofensivas, y sí, funcionó, pero estamos recibiendo tantas solicitudes que fail2ban comenzó a comer RAM como locos.
Además, fail2ban funciona bien prohibiendo las IP, pero el problema es que este servidor web es una máquina virtual muy limitada en recursos y detrás hay un firewall D-Link DFL-2560G.
La cuestión es que este tipo de solicitudes se generan en la Capa 7 (a medida que HTTP va en la capa de aplicaciones) y está resultando muy difícil filtrar este tipo de solicitudes antes de que lleguen al servidor web. Además, el módulo de filtrado de aplicaciones de este servidor necesita una licencia que no es comprada por el cliente, por lo que me deja con muy pocas opciones, y realmente no sé por dónde empezar.
¿Puede alguien darme algunas ideas?