Wir haben eine Website, die offenbar Opfer eines Denial-of-Service-Angriffs geworden ist. Es waren mehrere IP-Adressen betroffen, die alle bei Facebook registriert waren.
Hier ein Auszug aus den Apache-Logdateien:
173.252.73.119 - - [29/Aug/2013:14:22:14 +0100] "GET /blog/?s=224im089cz+pofmv90+4445u422bmw+5iaa1nxh4j1+ppabi%2Gjewl_biochemist++ HTTP/1.1" 200 179 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
Wie Sie sehen, ist die angeforderte URL gültig, enthält aber eine unsinnige Abfragezeichenfolge. Es gibt Hunderte solcher Anfragen pro Sekunde.
Ich denke, dass sowohl die IP-Adresse als auch der Referrer gefälscht sind. Selbst wenn die obige URL auf Facebook gepostet/geteilt worden wäre, würde das nicht all die anderen Tausenden zufälliger Anfragen erklären, die von derselben IP-Adresse und demselben Referrer kommen.
Wir könnten die IP-Adresse zwar über unsere Firewall blockieren, es werden jedoch auch andere IP-Adressen verwendet (alle bei Facebook registriert), und wir möchten Facebook nicht blockieren, wenn dafür nicht tatsächlich das Unternehmen verantwortlich ist.
Stammen diese Angriffe wahrscheinlich woanders und wie können wir ihnen vorbeugen?
Antwort1
Diese Treffer entstehen, wenn Facebook Ihren Server abfragt, um Bilder oder Textauszüge abzurufen, um nur einige Dinge zu nennen. Wenn beispielsweise ein Link gepostet wurde und viral ging, wurde er geladen vonjedenAnsicht des besagten Links. Sie können kontaktieren[email geschützt]damit sie es sich ansehen und möglicherweise feststellen können, ob die Links tatsächlich gültig sind.
Beachten Sie, dass es sich hier nicht um einen Denial-of-Service-Angriff handelt, sondern darum, dass Ihr Server mit einem Zustrom von Datenverkehr nicht zurechtkommt. Denial-of-Service-Angriffe würden nichts anderes bewirken, als Ihre Site unbrauchbar zu machen, obwohl es sich lediglich um einen ausgelasteten Server handelt.
Antwort2
Ich glaube nicht, dass es Facebook ist.
Hast du versucht, genau auf diese URI zuzugreifen? Es kann auch sein, dass der Server kompromittiert ist und hier tatsächlich etwas lauscht. Du bekommst hier einen HTTP-Status 100 – da ist was los – das ist kein File not Found.
Und bitte schauen Sie genau hin – wenn Sie eine Webshell installiert haben, ist sie ausgeblendet. Sehen Sie sich hier gegen Ende an, wie das aussehen könnte:http://daniel-khan.at/index.php/2013/05/12/webserver-attack-deconstructed/
In allen anderen Fällen (das ist wirklich eine falsche URI, die auf nichts verweist):
Wenn Sie wirklich viele Treffer erhalten, können Sie iptables mit Limit verwendenhttp://thelowedown.wordpress.com/2008/07/03/iptables-how-to-use-the-limits-module/
Wenn bloges sich überhaupt nicht um einen gültigen Pfad handelt, versuchen Sie, ihn in .htaccess zu blockieren
<Directory /blogn>
Order Deny,Allow
Deny from all
</Directory>
Auf diese Weise wird der Server nicht zu stark belastet und die Bots werden möglicherweise nicht müde.