Hi guys!Так получилось, что мою маленькую виртуалочку кто-то решил заддосить. Точней оно пытается наспамить в комментах но делает это так усердно, что сервак просто падает. Началось всё ещё недельку назад, с пары лондонских серваков внезапно кто-то стал усердно лить трафик, не много, но для 5$ виртуалки много и не надо. Решилось это простым дропом ip на фаерволе. Но сегодня опять и уже не 2 ip'шника.Собсно это будет типа дневник, как я сражаюсь с мировым злом. Может кому пригодится, а может кто что-нить подскажет.
Написал скриптик, распарсил iptraf лог, на сейчас имеем:163.172.167.174 trafic: 1387 bytes/s, conn count: 26 conn/s163.172.158.253 trafic: 1165 bytes/s, conn count: 22 conn/s192.0.96.248 trafic: 163 bytes/s, conn count: 3 conn/s192.0.96.247 trafic: 656 bytes/s, conn count: 13 conn/s163.172.179.115 trafic: 925 bytes/s, conn count: 17 conn/s193.34.160.86 trafic: 1 bytes/s, conn count: 0 conn/s163.172.132.42 trafic: 3253 bytes/s, conn count: 63 conn/s212.47.248.17 trafic: 620 bytes/s, conn count: 12 conn/s130.193.51.76 trafic: 8 bytes/s, conn count: 0 conn/s61.85.138.141 trafic: 1 bytes/s, conn count: 0 conn/s8.8.8.8 trafic: 9 bytes/s, conn count: 0 conn/s46.105.39.245 trafic: 0 bytes/s, conn count: 0 conn/s
А вот и косяк нашелся. Несмотря на то, что в фаерволе ip'шники добавлены в блэклист, соединение всёравно доходит до nginx. В фаерволе: Sep 2 19:12:03 Ubuntu-16 kernel: [649561.455344] [UFW BLOCK] IN=eth0 OUT= MAC=04:01:d6:9c:36:01:84:b5:9c:fa:08:30:08:00 SRC=163.172.132.42 DST=x.x.x.x LEN=40 TOS=0x00 PREC=0x00 TTL=56 ID=40092 DF PROTO=TCP SPT=35282 DPT=80 WINDOW=0 RES=0x00 RST URGP=0 И при этом в никсах:163.172.132.42 - - [02/Sep/2016:21:47:45 -0400] "POST /xmlrpc.php HTTP/1.0" 502 584 "-" "Mozilla/4.0 (compatible:$Добавил бэклист со стороны nginx и о сервак очухался.
Видать на /web я самый умный. Всё было ок в фаерволе, просто я спросоня недопедрил что правило: 80 ALLOW Anywhere Стоит выше всех блокировок (на первом скрине видно). Опустил его вниз и поставил лимит, теперь и без nginx'овой блокировки всё ок.
При включенном лимите, фаервол периодически резал нормальных людей. Отключил лимит на хттп и через пол часа началось по новой:163.172.159.111 trafic: 744 bytes/s, conn count: 14 conn/s212.47.240.38 trafic: 380 bytes/s, conn count: 7 conn/s163.172.180.178 trafic: 839 bytes/s, conn count: 16 conn/s163.172.170.74 trafic: 361 bytes/s, conn count: 6 conn/sНа те ip'шники, я кстати, накатал абузу провайдеру и с них трафик прекратился. Сейчас опять почти все с того, Лондонскго провайдера ip'шники.
>>95929меньше килобайта в секунду.вот так дудос, ничто не защитит.
>>95865 (OP)Антон, у тебя капча стоит в комментах?
>>95947Я писал, это не ддос, это спам, в 50 комментов в секунду. Просто для виртулки за 5$ это уже фатально. >>95948Нет, там акисмет плагин фильтрует спам.
>>95957К чему я про капчу, мою виртуалочку за 5$ тоже спамили в комменты, поставил капчу и всё прекратилось.
>>95963Понял, спс, если уж совсем достанут включу. Но пока ничего серьёзного, поживу без капчи, бесит она меня.
