Tengo un problema inusual que he estado tratando de diagnosticar por un tiempo:
-
Se trata de un servidor Debian que ejecuta una compilación personalizada de apache 2.2 con PHP, Red5, MySQL 5.5 (binario estándar), sendmail (versión distro) y crashplan.
-
Todos los días veo una gran cantidad de solicitudes HTTP a archivos aleatorios, en su mayoría imágenes, estamos hablando de más de mil conexiones simultáneas.
Estas solicitudes provienen de la propia dirección IP de los servidores (!).
-
Por lo general, es un conjunto limitado de archivos que se solicitan una y otra vez. No veo un patrón real, pero no parece que alguien esté raspando información, parece un intento de DoS.
-
Cron ejecuta una secuencia de comandos que prohíbe temporalmente las direcciones IP con más de 200 conexiones, por lo que esto generalmente se frena antes de que pueda ser realmente problemático. Después de 1-3 prohibiciones de 10 minutos, el ataque generalmente se detiene.
-
Esto ha estado ocurriendo durante meses. Dado que los ataques se capturan y frenan, no logro ver el punto.
-
Está sucediendo en intervalos e intervalos aleatorios, pero generalmente alrededor de los horarios de la mañana UTC.
-
No se envían referencias o agentes con estas solicitudes.
Revisé los registros del servidor web y red5 en busca de solicitudes relacionadas aproximadamente al mismo tiempo, en caso de que se abusara de un script en el servidor para enviar consultas a sí mismo, pero no se pudo encontrar nada. No hay nada en los registros de errores de apache o syslog en ese momento. Rkhunter tampoco encontró nada fuera de lo común. El servidor no genera paquetes de ruta, por lo que la suplantación de identidad tampoco debería ser una opción.
Estoy completamente perdido en cuanto al método y la razón. Cualquier idea de qué revisar sería muy apreciada. :)
ACTUALIZACIÓN: Siguiendo el consejo de Isernis, preparé un mecanismo para capturar información sobre el próximo evento. Este es (una versión ligeramente generalizada de) el método: enlace
RESPUESTA: Este es un sitio de redes sociales que permite perfiles tipo mySpace utilizando FCK Editor. Dado que eso es un poco una pesadilla de seguridad, los perfiles publicados por los usuarios se someten a controles exhaustivos, uno de los cuales sondea los enlaces / imágenes publicados. Por un lado, no excluí el dominio propio de los sitios en estas comprobaciones y dos debido a un error relacionado con las redirecciones, cada enlace o imagen fue golpeada 10 veces en lugar de una. Entonces, cuando un usuario con un perfil que contiene un enlace extenso al sitio en sí mismo presione el botón de guardar, el sitio DoS en sí. : P En particular, esto concierne a un usuario que tiene miles de artículos en su perfil y tiende a guardar con frecuencia.
¡Gracias a Iserni por la idea correcta de cómo diagnosticar este problema!
EDICIÓN DE RESPUESTAS: Estaba equivocado sobre el error. Ella realmente tiene algunas imágenes 10 veces o más dentro del perfil. Más específicamente, cerca de 1000 enlaces e imágenes para comprobar cada guardar. No lo vi venir. : P