Comment bloquer les mystérieuses requêtes à distance?

12

Mon serveur CentOS connaît d'énormes demandes (des millions par jour) qui ressemblent à ceci:

Srv PID Acc M   CPU SS  Req Conn    Child   Slot    Client  Protocol    VHost   Request
62-1    -   0/0/335 .   0.00    1947    204049  0.0 0.00    0.85    104.248.57.218  http/1.1    www.myrealdomain.co.uk:80   GET http://218.22.14.198/index HTTP/1.1

La demande semble que mon serveur passe du temps à diffuser ou à obtenir du contenu sur d'autres pages. J'ai essayé de bloquer les IP, ce qui ne fait que brouiller la source de nouvelles IP (à la fois pour le client et l'IP de demande) et sans succès.

J'ai même Cloudflare en haute sécurité, y compris leur pare-feu d'application Web, mais ces demandes arrivent toujours en masse.

Quelqu'un peut-il expliquer pourquoi ces demandes sont demandées et, surtout, comment les empêcher complètement?

Le serveur tourne autour de 50 sites avec toute la configuration de base de WordPress, et c'est un serveur dédié.

Nils Munch
la source
Étant donné la réponse de Faker, il peut être utile de partager plus de détails, tels que les fichiers de configuration pertinents. Quels logiciels utilisez-vous, quels services utilisez-vous, etc.?
Tommiie
Avez-vous vérifié les graphiques / journaux de trafic pour voir quand l'augmentation du trafic s'est produite? Cela peut vous indiquer une date à laquelle elle a été mal configurée / violée.
Criggie
Utilisez fail2ban qui les bloque automatiquement pendant une période donnée.
Chloe
fail2ban combattra le symptôme et non la cause. Si j'ai raison, cela ne bloquerait même rien.
faker

Réponses:

23

Il est difficile de dire ce qui se passe exactement ici. Cependant, vous déclarez:

La demande semble que mon serveur passe du temps à diffuser ou à obtenir du contenu sur d'autres pages.

Ceci avec le "GET http://218.22.14.198/index " sonne comme si vous aviez mal configuré votre système et exécutez accidentellement un proxy ouvert qui est abusé.
Fondamentalement, d'autres systèmes utilisent maintenant votre système comme proxy, généralement pour masquer leur adresse IP et ne font pas exactement les choses auxquelles vous souhaitez être associé.
Vous devriez dès que possible enquêter si tel est le cas.
Une règle de pare-feu ici n'est qu'un pansement et non la vraie solution.

Si tel est le cas - et avec les informations fournies, il est impossible de le dire - vous devez reconfigurer votre système pour ne plus être un proxy ouvert. Cela dépend de la configuration spécifique de votre serveur Web.

Plus d'informations par exemple pour Apache httpd:
https://wiki.apache.org/httpd/ProxyAbuse

truqueur
la source
2
On dirait que vous êtes sur place avec les abus de proxy, c'est la voie que j'emprunte actuellement.
Nils Munch