Fructis 是一个多站点(和多软件)虚拟机(Xen),具有 2 个核心和 6G RAM。
它托管着流行的 Drupal 和 Wordpress 网站,目前正遭受重创。我将在下面列出所有详细信息。
我一直在屏蔽 IP,但似乎有一个非常激进的机器人网络,它们更改 IP 的速度比我屏蔽它们的速度还快
我已经更新了 Drupal,但所有 Wordpress 网站不一定由我管理。
我已经启用了 TS 日志,但它们似乎没有帮助
也许答案是了解最近/现在常见的机器人攻击类型?为此,http://www.webmasterworld.com/home.htm 可能有有用的信息
细节:
root@fructis:/home/nrogara# w
09:28:05 up 10 days, 1:55, 2 users, load average: 31.10, 30.61, 32.31
USER TTY FROM LOGIN@ IDLE JCPU PCPU WHAT
nrogara pts/0 c-24-7-67-188.hs Wed13 1:01m 0.18s 0.00s sshd:
nrogara [priv]
nrogara pts/1 142-254-1-80.dsl 09:00 5.00s 0.06s 0.01s sshd:
nrogara [priv]
root@fructis:/home/nrogara# !net
netstat -tn 2>/dev/null | grep :80 | awk '{print $5}' | cut -d: -f1 |
sort | uniq -c | sort -nr | head
12 72.37.249.84
12 162.243.193.98
7 91.207.5.157
7 74.73.126.40
4 184.73.22.102
3 94.102.49.35
3 199.255.208.91
3 195.211.154.155
3 174.21.231.10
3 108.62.154.15
(2 分钟后)
root@fructis:/home/nrogara# netstat -tn 2>/dev/null | grep :80 | awk
'{print $5}' | cut -d: -f1 | sort | uniq -c | sort -nr | head
10 95.26.128.85
6 67.170.85.225
5 195.2.240.106
4 24.7.67.188
4 216.246.184.159
3 206.51.125.66
2 91.122.6.86
2 79.143.187.214
2 72.46.156.116
2 50.115.172.177
答案1
你显然无法跟上这种攻击者用手。如果他们有那么多 IP 地址,这将行不通。
你分析过这些机器人是什么吗?正在做?他们是不是想发送垃圾邮件?抓取你的网页内容?还是想发起 DDoS 攻击?
不久前,我开发了一个工具来在应用程序级别处理类似的情况。不良行为分析 HTTP 请求中的元数据,以确定请求是否可能是垃圾邮件发送者或其他攻击者,并在请求占用执行 Web 应用程序的任何资源之前,通过早期的 403 错误阻止该请求。它可用作WordPress 插件并且作为Drupal 模块。
不良行为几乎肯定会重要的如果机器人试图发送垃圾邮件、抓取您的网站、探测安全漏洞或试图暴力破解登录,它可能会有所帮助。如果他们只是在进行普通的 DDoS 攻击,它可能不会有太大帮助。
您还可以做的另一件事是确保您正确缓存。例如,为 Drupal 助力和W3 总缓存对于 WordPress。这会有所帮助,但如果机器人爬行您的网站,它们会花费大量时间来获取未缓存的内容,因此在这种情况下它不会有太大帮助。如果机器人主要发布数据,例如试图发布垃圾邮件,它也不会有太大帮助。
如果可能的话,您还应该暂时增加虚拟机的 CPU 和 RAM 分配,以帮助缓解一些压力。这可能需要您停止并重新启动虚拟机,但此时这只是一个小问题。
我有时也会写定制失败2ban针对执行特定滥用操作(例如反复尝试在 Drupal 上注册用户帐户)的特定机器人的正则表达式。如果您对服务器日志的分析表明正在发生类似的事情,您也可以执行类似的操作。