Qualcuno ha iniziato ad attaccare il mio sito pochi minuti fa e ha causato il PHP-FPM per il massimo di tutti i core (4) sui miei vps e NGINX ora sta servendo 502 per tutti gli utenti.
Vedo un sacco di queste richieste con tonnellate di agenti diversi
xx.xxx.xx.xx - - [10/Nov/2014:5:14:35 -0500] "POST / HTTP/1.1" 502 574 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/536.11 (KHTML, like Gecko) Chrome/20.0.1132.47 Safari/536.11"
Vedo anche un sacco di richieste da vari siti WordPress
xxx.xx.xxx.xxx - - [10/Nov/2014:5:14:35 -0500] "GET / HTTP/1.0" 502 172 "-" "WordPress/3.9.2; http://www.xxxxxxx.com; verifying pingback from xx.xxx.xxx.xxx"
Che tipo di attacco è questo e come posso mitigarlo? Sembra una specie di botnet, le sue tonnellate e tonnellate di richieste al secondo da tutti i diversi IP e agenti.
Sto facendo funzionare un forum in modo che il mio sito si basi strongmente su nginx passando a php. Sono su NGINX 1.7.7 e PHP 5.6.2 se è importante. NGINX ha praticamente zero carichi durante l'attacco.
Modifica: quindi a quanto pare non ho fornito informazioni sufficienti.
Gestisco un forum piuttosto piccolo - forse 100-200 membri unici al giorno. Normalmente molto molto basso carico - Ho cose memorizzate nella cache e configurate abbastanza bene. Qualcuno è venuto sul mio sito e mi ha detto che avrebbe tentato di smontare il mio sito web. Pochi minuti dopo, i miei registri erano pieni di centinaia (al secondo) di questi POST e GET da tutti i diversi IP e vari blog di wordpress. Il sito ha iniziato a servire 502 errori. Ho controllato l'utilizzo del server usando HTOP e ho visto php5-fpm usando quasi il 100% di tutti e 4 i core del VPS. Ho rapidamente chiuso nginx e il carico è andato immediatamente a zero. L'ho lasciato intenzionalmente per alcune ore e l'ho rimesso a posto per scoprire che l'attacco si era fermato.
Al momento non ci sono attacchi attivi in questo momento, mi piacerebbe contribuire a mitigare ciò che questo utente è stato in grado di fare. Sto usando la rete OVHs quindi sono coperto dal loro sistema Anti DDoS VAC - tuttavia questo sembra essere a livello di applicazione e ovviamente questo non mi aiuterebbe qui.
Non sono troppo intelligente con i server web, quindi non so come "controllare" cosa c'era in queste richieste. Tutto quello che vedo dai miei registri di accesso sono alluvioni di IP univoci che fanno tutti POST alla radice del mio dominio.