如何阻止神秘的远程请求?

12

我的CentOS服务器正在经历巨大的请求(每天数百万次),如下所示:

Srv PID Acc M   CPU SS  Req Conn    Child   Slot    Client  Protocol    VHost   Request
62-1    -   0/0/335 .   0.00    1947    204049  0.0 0.00    0.85    104.248.57.218  http/1.1    www.myrealdomain.co.uk:80   GET http://218.22.14.198/index HTTP/1.1

该请求看起来像我的服务器正在花费时间提供或获取其他页面内容。我尝试阻止IP,这只能使源争用新IP(包括客户端IP和请求IP),但没有成功。

我什至要求Cloudflare都具有很高的安全性,包括其Web应用程序防火墙,但是这些请求仍然成群结队。

任何人都可以解释为什么要提出这些要求,更重要的是,如何完全避免提出要求。

该服务器在WordPress的所有基本配置周围运行约50个站点,并且是专用服务器。

firewall  bad-request 
尼尔斯·蒙克
source
给定伪造者的答案,共享更多详细信息(例如相关的配置文件)可能会有所帮助。您正在使用什么软件,正在运行哪些服务等?
Tommiie
您是否查看了流量图表/日志以查看流量​​增加的时间?这可能会指出您配置错误/违反的日期。
Criggie '18
使用fail2ban可以在给定的时间内自动阻止它们。
Chloe
fail2ban不会解决症状。如果我是对的,它甚至什么都不会阻止。
骗子

Answers:

23

很难说这到底是怎么回事。但是,您声明:

该请求看起来像我的服务器正在花费时间提供或获取其他页面内容。

这与“ GET http://218.22.14.198/index ”一起听起来像是您配置了错误的系统,并意外地运行了一个被滥用的开放代理。
基本上,其他系统现在都将您的系统用作代理,通常是隐藏其IP地址,而不是完全按照您的意愿进行关联。
如果是这种情况,您应该尽快进行调查。
这里的防火墙规则只是一个创可贴,而不是真正的解决方案。

如果是这种情况-并根据提供的信息无法确定-您需要重新配置系统以停止成为开放代理。具体取决于您的特定Web服务器配置。

例如,有关Apache httpd的更多信息:https :
//wiki.apache.org/httpd/ProxyAbuse

骗子
source
2
看起来您被代理滥用所困扰,这就是我现在正在调查的道路。
尼尔斯·蒙克
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.