¿Cuál es el propósito de este ataque?

1

El siguiente es un extracto de una salida de registro de acceso de apache durante las últimas 24 horas. enlace

Notas:

  1. Las solicitudes provienen de más de 5733 direcciones IP únicas
  2. ~ 2 solicitudes por segundo, con un total de ~ 5 GB de datos de registro por día
  3. De las métricas, se muestra que el tráfico saliente es aproximadamente un orden de magnitud mayor que el tráfico entrante, debido a estas solicitudes.

El supuesto es que este es un ataque de algún tipo, o un uso de mi servidor por alguna razón. Pero no puedo llegar a una conclusión sobre cuál es su propósito.

Actualmente, he escrito una RewriteRule de Apache para redirigir todo este tráfico a un dominio inexistente. Por lo menos, si esto es algún tipo de participación en un ataque DDOS impar, recibirá un 301 a cambio, lo que reduce significativamente el tamaño del paquete. Lo ideal sería implementar algún tipo de firewall de capa 7 que simplemente eliminara los paquetes, pero como es una máquina virtual de Azure, es difícil.

¿Podrías ayudarme a determinar el propósito del ataque y, si es posible, cómo mitigarlo?

    
pregunta Jack Palkens 13.10.2016 - 05:58
fuente

1 respuesta

3

Mirando el extracto, la siguiente URL parece ser común en todas las solicitudes:

zukexupyqiv.wordpress.com% 2F2013% 2F05% 2F06% 2Crear una nota del perrito-testimonials-Buying-mal-shi-pups-for

Wordpress ha eliminado la URL por razones desconocidas, tal vez porque otros también observaron este tipo de actividad que afecta a sus sitios web y se quejaron de WordPress.

Sospecho que la intención de la actividad es simplemente enviar un correo basura a tu servidor y obligarte como administrador del sistema a visitar la URL anterior al consumir espacio de almacenamiento en tu disco y completar los registros.

Esto se indica a partir de la siguiente oración en las solicitudes: "Sé que este sitio ofrece artículos dependientes de la calidad y material adicional, ¿hay algún otro sitio que ofrezca este tipo de cosas en calidad?"

PS: Por cierto, las solicitudes GET parecen estar estructuradas en un formato, como si alguien estuviera enviando un formulario en línea como se ve en el parámetro llamado "postcomment". Esto podría deberse a que es fácil enviar solicitudes como esta.

ACTUALIZACIÓN: mitigaría esta actividad al analizar las solicitudes de términos comunes en todas las solicitudes, por ejemplo. la URL anterior, los términos clave mencionados anteriormente y simplemente eliminando estas solicitudes. Eliminar las solicitudes debería reducir la carga en su servidor. Si tiene un sitio web grande con una audiencia global, podría considerar un servicio CDN como Akamai que opcionalmente proporciona un Servidor de seguridad de aplicaciones web (WAF) para descargar el trabajo de mitigar DOS y otros tipos de ataques.

    
respondido por el John 13.10.2016 - 08:01
fuente

Lea otras preguntas en las etiquetas