Il nostro server è diventato di recente l'obiettivo di quello che sembra essere un attacco botnet. La prima indicazione è stata una quantità folle di traffico verso uno dei siti Web dei nostri clienti - così pesante che il server ha smesso completamente di rispondere. Credo che abbiamo avuto circa 200 richieste in coda sul server quando l'ho verificato.
Ho concluso che si tratta di una botnet perché ogni IP invia al massimo 3 richieste. Queste richieste sembrano indirizzare le pagine di accesso / registrazione. Originariamente erano brute forzare le pagine di informazioni utente (/ user / lkjasd) per vedere se l'utente esisteva, e quindi provare ad accedere come se non lo fossero.
La mia risposta iniziale era di impostare alcune RewriteRules per quel VHost che rilevava tutte le pagine di login / registrazione / utente e inviava immediatamente le 403 (solo gli amministratori si collegano a questo sito, e questo è raro). Questo ha tolto il carico al nostro server a causa della risposta rapida, quindi tutti i nostri siti sono sottoposti a backup.
Tuttavia, ora sono 3 giorni in quella soluzione e gli attacchi non sono rallentati. Hanno eliminato la maggior parte degli attacchi di login / registrazione e ora stanno inviando richieste GET e POST alla mia homepage, con il referer impostato come / user / login. Suppongo che si tratti di un tentativo di dirottare una sessione o di indurre il sito a pensare di aver appena effettuato l'accesso.
Ovviamente non posso impostare una RewriteRule su 403 sulla home page, quindi in che altro modo posso difendermi da questo? Il traffico non è insopportabile, ma mi fa sentire a disagio lasciandoli correre, e sono un po 'nervoso per il conto della mia banda alla fine del mese.