Qual è lo scopo di questo attacco?

1

Quanto segue è un estratto di un output del registro di accesso di Apache durante le ultime 24 ore. link

Note:

  1. Le richieste provengono da più di 5733 indirizzi IP univoci
  2. ~ 2 richieste al secondo, per un totale di ~ 5 GB di dati di registro al giorno
  3. Dalle metriche, viene mostrato che il traffico in uscita è di circa un ordine di grandezza più grande del traffico in entrata, a causa di queste richieste.

L'ipotesi è che si tratti di un attacco di qualche tipo o di un utilizzo del mio server per qualche motivo. Ma non posso arrivare a una conclusione su quale sia il suo scopo.

Attualmente ho scritto un RewriteRule di apache per reindirizzare tutto questo traffico a un dominio inesistente. Per lo meno, se si tratta di una sorta di partecipazione a uno strano attacco DDOS, riceverà in cambio un 301, riducendo in modo significativo la dimensione del pacchetto. Idealmente, implementerei un tipo di firewall di livello 7 che lascerebbe semplicemente cadere i pacchetti, ma visto che si tratta di una macchina virtuale di Azure, è difficile.

Sarai in grado di aiutarmi a determinare lo scopo dell'attacco e, se possibile, come mitigarlo?

    
posta Jack Palkens 13.10.2016 - 05:58
fonte

1 risposta

3

Se guardi l'estratto, il seguente URL sembra essere comune a tutte le richieste:

zukexupyqiv.wordpress.com% 2F2013% 2F05% 2F06% 2Fcreate-a-nota-of-the-testimonianze cucciolo-mal-shi-cuccioli-acquisto--per

L'URL è stato rimosso da wordpress per ragioni sconosciute - forse perché anche altri hanno osservato questo tipo di attività che interessavano i loro siti web e si sono lamentati con wordpress.

Sospetto che l'intenzione dell'attività sia semplicemente di inviare spam al server e costringerti come amministratore di sistema a visitare l'URL sopra occupando lo spazio di archiviazione sul disco e riempiendo i registri.

Questo è indicato dalla seguente frase nelle richieste: "So che questo sito offre articoli di qualità dipendente e materiale extra, c'è qualche altro sito che offre questo tipo di cose in termini di qualità"

PS: Per inciso, le richieste GET sembrano strutturate in un formato, come se qualcuno stesse inviando un modulo online visto dal parametro chiamato "postcomment". Ciò potrebbe essere dovuto al fatto che è facile inviare richieste come questa.

AGGIORNAMENTO: attenuerei questa attività analizzando le richieste di termini comuni in tutte le richieste, ad es. l'URL sopra, i termini chiave sopra elencati e semplicemente abbandonando queste richieste. Eliminare le richieste dovrebbe ridurre il carico sul tuo server. Se si dispone di un sito Web di grandi dimensioni con un pubblico globale, è possibile prendere in considerazione un servizio CDN come Akamai che opzionalmente fornisce un Web Application Firewall (WAF) per scaricare il lavoro di mitigazione di DOS e altri tipi di attacchi.

    
risposta data 13.10.2016 - 08:01
fonte

Leggi altre domande sui tag