Strana inondazione di richieste al mio web server

Question

Strana inondazione di richieste al mio web server

#1 da (1 voti)

0

Circa un'ora fa, strane richieste hanno iniziato a comparire nei miei log di accesso. Stanno arrivando ad una velocità di ca. 400 req / s e sembrano provenire da IP dappertutto. Ha iniziato a un tasso di innamoramento ed è in aumento, il che mi preoccupa. Le richieste hanno questo aspetto:

63.141.242.51 - - [17/Aug/2014:19:10:50 +0000]  "GET http://anx.batanga.net/tt?id=3011996&cb=[CACHEBUSTER]&referrer=[REFERRER_URL]&pubclick=[INSERT_CLICK_TAG] HTTP/1.0" http 200 0.000 612 "http://www.youdaoqii.com/news/014082324453123443.html" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/532.0 (KHTML, like Gecko) Chrome/4.0.211.0 Safari/532.0"
107.151.241.5 - - [17/Aug/2014:19:10:50 +0000]  "GET http://ib.adnxs.com/tt?id=3351132&referrer=yesshealth.com HTTP/1.0" http 200 0.000 612 "http://wwww.yesshealth.com" "Mozilla/4.0 (compatible; MSIE 8.0; AOL 9.5; AOLBuild 4337.43; Windows NT 6.0; Trident/4.0; SLCC1; .NET CLR 2.0.50727; Media Center PC 5.0; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
67.198.137.236 - - [17/Aug/2014:19:10:50 +0000]  "GET http://anx.batanga.net/ttj?id=3289594&cb=[CACHEBUSTER]&referrer=[REFERRER_URL]&pubclick=[INSERT_CLICK_TAG] HTTP/1.0" http 200 0.000 612 "http://www.formerfinance.com/?p=1363" "Mozilla/4.0 (compatible; MSIE 8.0; AOL 9.6; AOLBuild 4340.27; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
198.204.227.19 - - [17/Aug/2014:19:10:50 +0000]  "GET http://anx.batanga.net/tt?id=3087276&cb=[CACHEBUSTER]&referrer=[REFERRER_URL]&pubclick=[INSERT_CLICK_TAG] HTTP/1.0" http 200 0.000 612 "htp://www.canyouqq.com/news/2014/34457v0947608250480.html" "Mozilla/4.0 (compatible; MSIE 8.0; AOL 9.6; AOLBuild 4340.17; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
198.204.231.173 - - [17/Aug/2014:19:10:50 +0000]  "GET http://anx.batanga.net/tt?id=3087276&cb=[CACHEBUSTER]&referrer=[REFERRER_URL]&pubclick=[INSERT_CLICK_TAG] HTTP/1.0" http 200 0.000 612 "htp://www.canyouqq.com/news/2014/344570947608250480.html" "Mozilla/4.0 (compatible; MSIE 8.0; AOL 9.6; AOLBuild 4340.17; Windows NT 5.1; Trident/4.0; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
67.229.227.59 - - [17/Aug/2014:19:10:50 +0000]  "GET http://anx.batanga.net/tt?id=3253370&cb=[CACHEBUSTER]&referrer=[REFERRER_URL]&pubclick=[INSERT_CLICK_TAG] HTTP/1.0" http 200 0.000 612 "http://www.selfisheducation.com/walmart-scholarships-provides-students-with-millions-for-college/feed/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; Trident/4.0; Acoo Browser; GTB6; 001|Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; InfoPath.1; .NET CLR 3.5.30729; .NET CLR 3.0.30618)"
107.151.233.52 - - [17/Aug/2014:19:10:50 +0000]  "GET http://ib.adnxs.com/tt?id=3351132&referrer=yesshealth.com HTTP/1.0" http 200 0.000 612 "http://wwww.yesshealth.com" "Mozilla/4.0 (compatible; MSIE 6.0; AOL 8.0; Windows NT 5.1; SV1)"

Ho trovato un'altra domanda in cui qualcuno sembra ricevere lo stesso tipo di traffico: Strani log di accesso di Apache La conclusione sembra essere che si tratta di una scansione per i proxy aperti. Ma se questa è una scansione, non dovrebbe provenire da un singolo (o pochi) IP? Questo sembra essere qualcos'altro, nella mia conoscenza limitata.

Qualcuno può confermare che questa è solo una scansione o forse dirmi cosa sta succedendo?

Sto eseguendo nginx e mentre il traffico è piuttosto elevato, attualmente non causa alcun problema.

nginx ddos network-scanners

posta troelskn 17.08.2014 - 21:22

fonte

1 risposta

Leggi altre domande sui tag nginx ddos network-scanners

Errori tipici nell'implementazione delle firme digitali? Scegliere il modo giusto per proteggere l'accesso al server tramite socket

score 1 · Answer 1

Ho trovato questo articolo, che sembra spiegare cosa sta succedendo: link

Ho modificato la configurazione host predefinita per restituire http 444 ora. Speriamo che i colpevoli si renderanno conto che questo non è un proxy aperto e basta andare via ad un certo punto.

per esempio:.

server {
        listen 80 default_server;
        listen [::]:80 default_server ipv6only=on;

        root /usr/share/nginx/html;
        index index.html index.htm;

        # Make site accessible from http://localhost/
        server_name localhost;

        location / {
                return 444;
        }
}

Sembra funzionare. 10 minuti dopo averlo inserito, il traffico diminuiva considerevolmente. Presumo che il fatto che nginx rispondesse con http 200 alle richieste proxy, significava che il colpevole pensava che funzionasse come un proxy (anche se stava solo servendo la pagina del server predefinita). Rispondere a un errore deve averli disattivati.