Temos um site que parece ter sofrido um ataque de negação de serviço. Havia vários endereços IP envolvidos e todos foram registrados no Facebook.
Aqui está um trecho dos arquivos de log do Apache:
173.252.73.119 - - [29/Aug/2013:14:22:14 +0100] "GET /blog/?s=224im089cz+pofmv90+4445u422bmw+5iaa1nxh4j1+ppabi%2Gjewl_biochemist++ HTTP/1.1" 200 179 "-" "facebookexternalhit/1.1 (+http://www.facebook.com/externalhit_uatext.php)"
Como você pode ver, o URL solicitado é válido, mas contém uma string de consulta sem sentido. Existem centenas dessas solicitações por segundo.
Estou pensando que tanto o endereço IP quanto o referenciador são falsos. Mesmo que o URL acima tivesse sido postado/compartilhado no Facebook, isso não explicaria todos os outros milhares de solicitações aleatórias provenientes do mesmo endereço IP e referenciador.
Embora possamos bloquear o endereço IP através do nosso firewall, existem outros endereços IP sendo usados (todos registrados no Facebook) e não queremos bloquear o Facebook se eles não forem realmente responsáveis.
É provável que a origem destes ataques venha de outro lugar e como podemos mitigá-los?
Responder1
Esses acessos ocorrem quando o Facebook consulta seu servidor para obter imagens ou trechos de texto, para citar algumas coisas. Se um link fosse postado e se tornasse viral, por exemplo, ele seria carregado portodovisualização do referido link. Você pode entrar em contato[e-mail protegido]para que eles possam dar uma olhada e talvez determinar se os links são realmente válidos.
Observe que este não é um ataque de negação de serviço, mas sim o seu servidor sendo incapaz de lidar com um fluxo de tráfego. Os ataques de negação de serviço serviriam apenas para tornar seu site inutilizável, enquanto este é apenas um servidor ocupado.
Responder2
Não acho que seja o Facebook.
Você já tentou acessar exatamente esse URI - também pode ser que o servidor esteja comprometido e que de fato haja algo escutando aqui. Você obtém um status HTTP 100 aqui - algo está acontecendo - isso não é um arquivo File not Found.
E, por favor, observe-o profundamente - se você tiver um webshell instalado, ele estará oculto. Veja aqui perto do final como isso poderia ser:http://daniel-khan.at/index.php/2013/05/12/webserver-attack-deconstructed/
Em todos os outros casos (este é realmente um URI falso que aponta para nada):
Se você obtiver muitos acessos, poderá usar o iptables com limitehttp://thelowedown.wordpress.com/2008/07/03/iptables-how-to-use-the-limits-module/
Se blognão for um caminho válido, tente bloqueá-lo em .htaccess
<Directory /blogn>
Order Deny,Allow
Deny from all
</Directory>
Dessa forma o servidor não ficará muito carregado e os bots talvez se cansem.