Nuestro servidor se ha convertido recientemente en un objetivo de lo que parece ser un ataque de botnet. La primera indicación fue una cantidad insana de tráfico a uno de los sitios web de nuestros clientes, tan pesado que el servidor dejó de responder por completo. Creo que tuvimos cerca de 200 solicitudes en cola en el servidor cuando lo verifiqué.
Llegué a la conclusión de que es una red de bots porque cada IP envía como máximo 3 solicitudes. Estas solicitudes parecen estar dirigidas a páginas de inicio de sesión / registro. Originalmente, eran páginas de información del usuario que obligaban a los usuarios (/ user / lkjasd) a ver si existía el usuario, y luego intentaban iniciar sesión como si no fuera así.
Mi respuesta inicial fue establecer algunas RewriteRules para ese VHost que detectó todas las páginas de inicio de sesión / registro / usuario y enviar 403 inmediatamente (solo los administradores inician sesión en este sitio, y eso es poco frecuente). Esto ha eliminado la carga de nuestro servidor debido a la rápida respuesta, por lo que todos nuestros sitios están respaldados.
Sin embargo, ahora llevo 3 días en esa solución y los ataques no han disminuido. Han eliminado la mayoría de los ataques de inicio de sesión / registro, y ahora están enviando solicitudes GET y POST a mi página de inicio, con el referente establecido como / usuario / inicio de sesión. Supongo que este es un intento de secuestrar una sesión o engañar al sitio para que piense que acaban de iniciar sesión.
Obviamente no puedo configurar una RewriteRule en 403 en la página de inicio, así que, ¿de qué otra manera puedo defenderme de esto? El tráfico no es insoportable, pero me inquieta simplemente dejarlos correr, y estoy un poco nervioso por la factura de mi ancho de banda al final del mes.