신비한 원격 요청을 차단하는 방법은 무엇입니까?


12

내 CentOS 서버는 다음과 같은 거대한 (하루 수백만) 요청을 겪고 있습니다.

Srv PID Acc M   CPU SS  Req Conn    Child   Slot    Client  Protocol    VHost   Request
62-1    -   0/0/335 .   0.00    1947    204049  0.0 0.00    0.85    104.248.57.218  http/1.1    www.myrealdomain.co.uk:80   GET http://218.22.14.198/index HTTP/1.1

요청이 서버에서 다른 페이지 콘텐츠를 제공하거나받는 데 시간을 보내는 것 같습니다. 나는 IP를 차단하려고 시도했다. 소스는 새로운 IP (클라이언트 및 요청 IP 모두) 만 스크램블하고 성공하지 못했다.

웹앱 방화벽을 포함하여 Cloudflare의 안전성이 높았지만 이러한 요청은 여전히 ​​진행 중입니다.

누구나 왜 이것이 요청되는지, 더 중요하게는 그것을 예방하는 방법을 설명 할 수 있습니까?

서버는 WordPress의 모든 기본 구성으로 약 50 개의 사이트를 실행하고 있으며 전용 서버입니다.


가짜의 대답이 주어지면 관련 구성 파일과 같은 세부 정보를 공유하는 것이 유리할 수 있습니다. 어떤 소프트웨어를 사용하고 있으며 어떤 서비스를 실행하고 있습니까?
Tommiie

트래픽 증가가 언제 발생했는지 확인하기 위해 트래픽 그래프 / 로그를 확인 했습니까? 잘못 구성 / 위반 된 날짜를 알려줍니다.
Criggie

주어진 시간 동안 자동으로 차단하는 fail2ban 을 사용하십시오 .
Chloe

fail2ban은 원인이 아닌 증상과 싸울 것입니다. 내가 옳다면 아무것도 막지 않을 것입니다.
faker

답변:


23

여기서 정확히 무슨 일이 일어나고 있는지 말하기는 어렵습니다. 그러나 당신은 말합니다 :

요청이 서버에서 다른 페이지 콘텐츠를 제공하거나받는 데 시간을 보내는 것 같습니다.

이것은 "GET http://218.22.14.198/index " 와 함께 시스템을 잘못 구성하고 실수로 악용되는 공개 프록시를 실행하는 것처럼 들립니다.
기본적으로 다른 시스템은 일반적으로 시스템을 프록시로 사용하고 있습니다. 일반적으로 IP 주소를 숨기고 정확하게 연결하려는 작업을 수행하지는 않습니다.
이 경우 가능한 빨리 조사해야합니다.
여기서 방화벽 규칙은 실제 해결책이 아니라 반창고입니다.

이 경우 ( 제공된 정보를 사용하여 알 수없는 경우) 개방 프록시가되지 않도록 시스템을 재구성해야합니다. 특정 웹 서버 구성에 따라 수행 방법이 다릅니다.

Apache httpd의 예에 대한 추가 정보 :
https://wiki.apache.org/httpd/ProxyAbuse


2
당신이 대리 남용을 당하고있는 것처럼 보입니다. 그것이 제가 지금 조사하고있는 길입니다.
Nils Munch
당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.