¿Cómo bloquear misteriosas solicitudes remotas?

12

Mi servidor CentOS está experimentando enormes solicitudes (millones por día) con este aspecto:

Srv PID Acc M   CPU SS  Req Conn    Child   Slot    Client  Protocol    VHost   Request
62-1    -   0/0/335 .   0.00    1947    204049  0.0 0.00    0.85    104.248.57.218  http/1.1    www.myrealdomain.co.uk:80   GET http://218.22.14.198/index HTTP/1.1

La solicitud parece que mi servidor está pasando tiempo sirviendo u obteniendo contenido de otras páginas. Intenté bloquear las IP, lo que solo hace que la fuente codifique nuevas IP (tanto para el cliente como para la IP de solicitud) y sin éxito.

Incluso tengo Cloudflare en alta seguridad, incluido el firewall de su aplicación web, pero estas solicitudes aún vienen en masa.

¿Alguien puede explicar por qué se solicitan y, lo que es más importante, cómo prevenirlo por completo?

El servidor ejecuta alrededor de 50 sitios con toda la configuración básica de WordPress, y es un servidor dedicado.

Nils Munch
fuente
Dada la respuesta del falsificador, quizás pueda ser beneficioso compartir más detalles, como los archivos de configuración relevantes. ¿Qué software está utilizando, qué servicios está ejecutando, etc.?
Tommiie
¿Ha revisado los gráficos / registros de tráfico para ver cuándo ocurrió el aumento del tráfico? Esto puede indicarle una fecha en la que se configuró incorrectamente o se incumplió.
Criggie
Utilice fail2ban que los bloquea automáticamente durante un período de tiempo determinado.
Chloe
fail2ban luchará contra el síntoma, no la causa. Si tengo razón, ni siquiera bloquearía nada.
falso el

Respuestas:

23

Es difícil decir qué está pasando exactamente aquí. Sin embargo, usted declara:

La solicitud parece que mi servidor está pasando tiempo sirviendo u obteniendo contenido de otras páginas.

Esto, junto con "GET http://218.22.14.198/index ", parece que ha configurado incorrectamente su sistema y está ejecutando accidentalmente un proxy abierto que está siendo abusado.
Básicamente, otros sistemas ahora usan su sistema como proxy, generalmente para ocultar su dirección IP y no hacen exactamente las cosas con las que desea estar asociado.
Debe investigar lo antes posible si este es el caso.
Una regla de firewall aquí es solo una curita y no la solución real.

Si este es el caso, y con la información proporcionada es imposible saberlo, debe volver a configurar su sistema para dejar de ser un proxy abierto. Depende de la configuración específica de su servidor web cómo hacerlo.

Más información, por ejemplo, para Apache httpd:
https://wiki.apache.org/httpd/ProxyAbuse

falsificador
fuente
2
Parece que estás acertando con el abuso de poder, ese es el camino que estoy siguiendo ahora investigando.
Nils Munch