当社のウェブサイトは、サービス拒否攻撃を受けたようです。複数の IP アドレスが関与しており、すべて Facebook に登録されていました。
以下は Apache ログ ファイルからの抜粋です。
173.252.73.119 - - [29/Aug/2013:14:22:14 +0100] "GET /blog/?s=224im089cz+pofmv90+4445u422bmw+5iaa1nxh4j1+ppabi%2Gjewl_biochemist++ HTTP/1.1" 200 179 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
ご覧のとおり、要求された URL は有効ですが、意味不明なクエリ文字列が含まれています。このような要求は 1 秒あたり数百件あります。
IP アドレスとリファラーの両方が偽造されているのではないかと考えています。上記の URL が Facebook に投稿/共有されていたとしても、同じ IP アドレスとリファラーから送られてくる他の何千ものランダムなリクエストをすべて説明することはできません。
ファイアウォール経由で IP アドレスをブロックすることはできますが、使用されている他の IP アドレス (すべて Facebook に登録されている) もあり、実際に責任を負っていない場合は Facebook をブロックしたくありません。
これらの攻撃の発生源は他の場所から来ている可能性が高く、それを軽減するにはどうすればよいでしょうか?
答え1
これらのヒットは、Facebookが画像やテキストの抜粋などを取得するためにサーバーにクエリを送信したときに発生します。たとえば、リンクが投稿されて話題になった場合、毎上記のリンクをご覧ください。[メールアドレス]そうすれば、彼らはそれを調べて、リンクが実際に有効かどうかを判断できるかもしれません。
これはサービス拒否攻撃ではなく、サーバーがトラフィックの流入に対応できない状態であることに注意してください。サービス拒否攻撃は、サイトを使用できなくなるだけですが、これは単にサーバーが混雑しているだけです。
答え2
それはFacebookではないと思います。
まさにこの URI にアクセスしようとしましたか? サーバーが侵害され、実際にここで何かがリッスンしている可能性もあります。ここで HTTP ステータス 100 が返されます。何かが起きています。これは ではありませんFile not Found。
そして、これをよく見てください。Web シェルがインストールされている場合は、これは隠されています。これがどのように見えるかについては、ここの最後の部分を見てください。http://daniel-khan.at/index.php/2013/05/12/webserver-attack-deconstructed/
それ以外の場合(これは実際には何も指していない偽の URI です):
ヒット数が非常に多い場合は、制限付きのiptablesを使用できます。http://thelowedown.wordpress.com/2008/07/03/iptables-how-to-use-the-limits-module/
blog有効なパスでない場合は、.htaccessでブロックしてみてください。
<Directory /blogn>
Order Deny,Allow
Deny from all
</Directory>
こうすることで、サーバーの負荷が大きくなりすぎず、ボットが疲れることもなくなるでしょう。