Il webserver Apache dietro il firewall è vittima di un abuso del proxy e non può utilizzare fail2ban per risolverlo

5

Abbiamo un nuovo client con un server web che sta facendo troppi abusi sui proxy. Access_log è pieno di questo tipo di righe:

64.187.XXX.XXX - - [12/May/2015:10:32:10 -0300] "GET https://ads.exoclick.com:443/ads.js HTTP/1.0" 404 204 "http://www.salefutures.com/?p=1349" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US) AppleWebKit/532.0 (KHTML, like Gecko) Chrome/4.0.206.1 Safari/532.0"

Ovviamente ho pensato prima su fail2ban di bandire tramite IPtables ogni IP incriminato, e sì, ha funzionato, ma stiamo ricevendo così tante richieste che fail2ban ha iniziato a mangiare RAM come un matto.

Oltre a fail2ban funziona OK, bannando gli IP, ma il problema è che questo webserver è una VM con molte risorse e dietro di esso c'è un firewall D-Link DFL-2560G.

Il fatto è che questo tipo di richieste sta generando in Layer 7 (come HTTP va nel livello applicazione) e sta dimostrando di essere molto difficile filtrare questo tipo di richieste prima che raggiungano il server web. Inoltre, il modulo di filtro dell'app di questo server necessita di una licenza che non viene acquistata dal client, quindi mi lascia poche opzioni e non so davvero da dove iniziare.

Qualcuno può darmi qualche idea?

    
posta oscillat0r 20.05.2015 - 21:25
fonte

1 risposta

2

Valuta mod_security - vedi link .

Non so in cima alla mia testa se ci sono delle regole per aiutare con il problema dell'OP - se ce ne sono, ovviamente, usate. Se non le regole sono facilmente scritte. Disabilita le regole che non sono applicabili per ridurre l'impatto negativo sulle prestazioni provocato dal modulo.

Un ulteriore vantaggio sarebbe quello del framework Web Application Firewall globale. Potresti scoprire che hai bisogno di protezioni aggiuntive che Fail2Ban potrebbe non essere d'aiuto.

    
risposta data 06.06.2015 - 03:21
fonte

Leggi altre domande sui tag