Detener grandes solicitudes a mi servidor (TOR)

Puede eliminar paquetes que contengan una cadena específica y, aparentemente, todas las solicitudes contienen: 'HEAD // images /' string.

Sugiero la siguiente regla por ahora y luego puedes eliminarlo:

iptables -I INPUT -p tcp --dport 80 -m string --algo bm --string 'HEAD //images/' -j DROP

Si su modelo de seguridad permite pasar tráfico a terceros, la solución más fácil y efectiva puede ser presentar su aplicación con Cloudflare . Al momento de escribir este artículo, Cloudflare bloquea prácticamente toda la conexión Tor a menos que resuelvan una página CAPTCHA y también tienen un Servidor de seguridad de aplicaciones web que puede configurar para filtrar aún más el tráfico antes de llegar a su servidor para que el atacante no consuma el ancho de banda del servidor.

De lo contrario, puede tener algo de suerte configurando fail2ban . fail2ban es una pieza de software que pone un bloqueo temporal de IP al cambiar la política de firewall del sistema operativo cuando alguien falla la autenticación demasiadas veces. En su caso, la autenticación fallida sería alguien que mantiene el 404-ing.

Mi servidor web tiene esto todo el tiempo, y después de meses de examinar los registros, puedo ver que hay cientos de cosas diferentes que eventualmente pedirán.

Una de las miles de redes de robots es la asignación de su Apache para componentes vulnerables. Con la esperanza de tener suerte, con un componente común que sabe cómo explotar. Obtengo bots buscando phpmyadmin todo el tiempo. Junto con docenas de otras cosas.

Luego, por supuesto, si tiene suerte, eventualmente implementarán más cosas malas para que puedan usar su computadora para sus propios actos nefarios.

Virtualice con algo que puede instalar un kernel moderno, por lo que puede usar ipset. Tal vez KVM, la ventana acoplable utiliza el kernel incorporado, por lo que no es bueno.

Es probable que la botnet esté en decenas de miles de computadoras, por lo que no podrás bloquear esto de manera efectiva, especialmente no sin el conjunto de chips.

También, siempre que estés usando TOR, ellos tendrán acceso a más direcciones IP de personas aleatorias.

Opción # 2

Reemplace el archivo HTTP_NOT_FOUND.html.var encontrado, al menos en mi sistema, / usr / share / apache2 / error

Puede crear un archivo HTTP_NOT_FOUND.html.var.php y luego cambiar el archivo apache, / etc / apache2 / errors.conf, para apuntar a dicho archivo.

Entonces el primer intento sería el último.

¡Primero, no te asustes y asegúrate de llevar una toalla contigo!

Por la información que ha proporcionado, no creo que esté siendo atacado, solo analizado. En estos días, este es un comportamiento "normal" y es algo que probablemente verá de forma regular. Piense en ello como si alguien estuviera colocando su articulación, buscando una ventana abierta o una puerta abierta. Solo están buscando para ver si hay una manera fácil de usar para obtener una entrada.

Existen muchos scripts y herramientas, como botnets que simplemente escanean Internet en busca de sistemas posiblemente vulnerables. Si esto es un preludio de algo más serio es casi imposible de determinar (todavía). Mucho dependerá de si su sitio se ve valioso y hasta qué punto su sistema está actualizado.

• Asegúrese de que su software esté todo parchado y actualizado
• Asegúrese de haber inhabilitado los servicios que se estén ejecutando en su servidor y que no necesite / use
• Asegúrese de que la configuración de su servidor web sea correcta, es decir, solo tiene las funciones habilitadas que usa, tiene elementos estándar, como un archivo robots.txt configurado correctamente, no tiene habilitados los módulos que no necesita, etc.

Usted menciona que este tráfico está matando su ancho de banda. Esto me hace sospechar que está ejecutando el servidor web en un sistema con un ancho de banda bajo, ya que estas solicitudes son bastante ligeras, es decir, solo las solicitudes HEAD. Si este es el caso, quizás necesite volver a pensar si ejecutar el servidor es realmente una buena idea.

Cuando colocas un servidor en Internet, estás publicando algo que es público: estás diciendo "Oye, tengo un servidor aquí, ven y echa un vistazo" . Necesitas estar preparado para cuando alguien venga y no tienes control sobre quién lo hace. Tratar de bloquear este tipo de tráfico te volverá loco. Si lo permites, acabarás en un juego de 'wak-a-mole'. Ni siquiera se moleste en tratar de bloquear este nivel de tráfico porque tan pronto como lo haga, es probable que solo obtenga algo diferente de una dirección IP diferente. Terminarás girando tus ruedas escribiendo filtros y ajustando cortafuegos.

Configurar un servidor y ponerlo en la web es una tarea casi trivial en estos días. Sin embargo, administrar tales sistemas no lo es, y es algo que debe considerar cuidadosamente. Ponerlo en un servidor al final de un enlace DSL doméstico o de una pequeña empresa o similar es casi siempre una mala idea. Es probable que tenga un impacto en su ancho de banda, con frecuencia llevará más tiempo de lo que espera y es poco probable que tenga la infraestructura subyacente necesaria para proporcionar un servicio sólido y confiable.

Mi sugerencia sería considerar hospedar su servicio web con uno de los muchos servicios de hospedaje diferentes que existen. Hay una gran variedad de opciones y es casi seguro que puede encontrar algo que satisfaga sus necesidades, desde Infraestructura como Servicios (IaaS) de bajo nivel, hasta Plataforma como Servide (PaaS) y Software como Servicio (SaaS). Cada servicio ofrece diferentes niveles de flexibilidad y costos variables que puede seleccionar. Podrá encontrar algo con el equilibrio adecuado de costo y características con suficiente investigación.

Si no desea pagar para alojar su servicio, realmente necesita volver a considerar lo que está haciendo. Hay costos asociados con todas las formas de alojamiento. La diferencia es cómo se absorben esos costos, ya sea que pague con dinero o pague con tiempo y con sus propios recursos.