ataque HTTP eliminando PHP-FPM [cerrado]

Navega tus respuestas
4

Alguien comenzó a atacar mi sitio hace unos minutos y esto provocó que PHP-FPM maximice todos los núcleos (4) en mi vps y NGINX ahora está sirviendo 502 a todos los usuarios.

Estoy viendo un montón de estas solicitudes con toneladas de agentes diferentes

  

xx.xxx.xx.xx - - [10 / Nov / 2014: 5: 14: 35 -0500] "POST / HTTP / 1.1" 502 574 "-" "Mozilla / 5.0 (Windows NT 6.1; WOW64) AppleWebKit / 536.11 (KHTML, como Gecko) Chrome / 20.0.1132.47 Safari / 536.11 "

También estoy viendo un montón de solicitudes de varios sitios de WordPress

  

xxx.xx.xxx.xxx - - [10 / Nov / 2014: 5: 14: 35 -0500] "GET / HTTP / 1.0" 502 172 "-" "WordPress / 3.9.2; enlace ; verificando pingback desde xx.xxx.xxx.xxx "

¿Qué tipo de ataque es este y cómo puedo ayudarlo a mitigarlo? Parece una especie de red de bots, sus toneladas y toneladas de solicitudes por segundo de todos los IP y agentes diferentes.

Estoy ejecutando un foro, por lo que mi sitio depende en gran medida de que nginx pase a php. Estoy en NGINX 1.7.7 y PHP 5.6.2 si importa. NGINX tiene prácticamente cero carga durante el ataque.

Editar: aparentemente no proporcioné suficiente información.

Tengo un foro bastante pequeño, quizás 100-200 miembros únicos al día. Normalmente, muy baja carga: tengo cosas almacenadas en caché y configuradas bastante bien. Alguien vino a mi sitio y me dijo que iba a intentar quitar mi sitio web. Unos minutos más tarde, mis registros se llenaron con cientos (por segundo) de estos POST y GET de todas las diferentes IP y varios blogs de wordpress. El sitio comenzó a servir 502 errores. Verifiqué el uso del servidor usando HTOP y vi php5-fpm usando casi el 100% de los 4 núcleos del VPS. Rápidamente apagué nginx y la carga inmediatamente fue a cero. Lo dejé intencionalmente durante unas horas y lo volví a colocar para encontrar que el ataque se había detenido.

Si bien no hay un ataque activo en este momento, me gustaría ayudar a mitigar lo que este usuario pudo hacer. Estoy usando la red OVH, así que estoy cubierto por su sistema Anti DDoS VAC. Sin embargo, esto parece estar en el nivel de la aplicación y, obviamente, eso no me ayudaría aquí.

No soy muy inteligente con los servidores web, así que no sé cómo "verificar" lo que había en estas solicitudes de publicación. Todo lo que veo en mis registros de acceso son inundaciones de direcciones IP únicas que hacen POST a la raíz de mi dominio.

    
pregunta Maxriff 10.11.2014 - 12:36
fuente

1 respuesta

3

Características relacionadas con el ataque DDoS:

Esto definitivamente tiene las características del ataque de denegación de servicio distribuido (DDoS), y esto es lo primero que sospecho. Los elementos que me llevan a creer esto son:

  1. Gran variedad de fuentes (distribuidas)
  

Estoy viendo un montón de estas solicitudes con toneladas de agentes diferentes

(aparece en su publicación de registro, xxx.xxx.xxx.xxx indicaría que son de una gran variedad de direcciones IP)

  1. Similitud de peticiones
  

También estoy viendo un montón de solicitudes de varios sitios de WordPress

La similitud de las solicitudes también me lleva a creer en la denegación de servicio distribuida. Por ejemplo, el propietario de una botnet podría estar emitiendo el comando para atacar a su servidor con este tipo específico de solicitud.

  1. "Volumen de inundación" de solicitudes (denegación de servicio)

Además, las solicitudes son de tal volumen que están maximizando sus recursos. Si se trata de un fuerte aumento de volumen, es probable que sea un ataque, o posiblemente un error. También podría ser que su sitio se esté volviendo popular y que necesite más recursos (especialmente si ha sido un aumento constante y no un aumento pronunciado en el tráfico).

Cómo se puede realizar un ataque DDoS: En un ataque DDoS, muchas veces una red de bots de computadoras de usuarios inocentes controladas por malware es empleada por un usuario de botnet malicioso para atacar un sitio específico. El flujo de algún tipo de solicitud de muchas fuentes diferentes es una característica de un ataque DDoS.

Otras posibilidades:

Nota: su caso parece ser un ataque DDoS, y ninguna de estas otras posibilidades, según sus aclaraciones (¡especialmente porque el tipo dijo que iba a hacerlo!)

  1. Error en el código: como mencionó TidalWave, podría ser algo incorrecto en tu código, pero tiendo a inclinarme hacia él, realmente es un ataque DDoS genuino, especialmente porque no estaba sucediendo antes (a menos que simplemente recientemente puso su sitio en línea). Un ejemplo en el que puedo pensar de dónde podría estar su código es que su código envía algo a un grupo de sitios que harían que le envíen este tráfico. Tal vez podría estar enviando algo a través de la transmisión cuando no debería ser transmitido. Una cosa a tener en cuenta es que, si esto comenzó a suceder justo después de realizar una actualización, es más probable que haya un problema en el código.

  2. Aumento del tráfico del sitio web: ¡Su sitio puede volverse más popular! Es más probable que este sea el caso si su tráfico ha aumentado constantemente y finalmente está maximizando sus recursos. Sin embargo, un fuerte aumento en la actividad (que no esté relacionado con un "evento" específico en su sitio web, como el sorteo de un concurso que se está realizando ahora) probablemente indique un ataque DDoS.

  3. Podría ser otra cosa que ninguno de nosotros haya considerado.

Mitigaciones:

Estos son algunos de los sitios que encontré al investigar la prevención de ataques DDoS: enlace enlace enlace

Esto es lo que reuní de ellos, en lo que respecta a mitigaciones potenciales:

  • Use un proveedor de servicios de Internet (ISP) que brinde protección contra DDoS y que no se cobre por el uso de ancho de banda.
  • Ajusta la configuración del firewall (especialmente el registro para la aplicación de la ley)
  • Hágalo usted mismo (DIY) (probablemente no sea tan bueno a menos que sea un experto en esta área)
  • Soluciones de prevención DDoS para empresas (son costosas y es posible que aún no funcionen)
  • Servicios en la nube diseñados para prevenir ataques DDoS
respondido por el Jonathan 10.11.2014 - 16:31
fuente

Lea otras preguntas en las etiquetas

Redirección de Phishing / Malware a través de AdExchange en Android Contraseña del sistema de Windows con hash: vea qué hash se usa