Ранее сегодня я получил электронное письмо от моего хостинг-провайдера о том, что мой сервер подвергается DDoS-атаке. Я нашел в файле журнала много подозрительных запросов с некоторыми случайными названиями сайтов, такими как dekhockeyvicto.com, workout.de и очень странными dee_fiber.dedicated:
13/Sep/2017:10:35:21 +0300] "GET http://dish_fiber.dedicated/alogin?dst=http%3A%2F%2Fviewdns.info%2Freverseip%2F%3Fhost%3Ddekhockeyvicto.com%26amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bt%3D1 HTTP/1.1" 400 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.130 Safari/537.36"
52.119.20.4 - - [13/Sep/2017:10:56:46 +0300] "GET http://dish_fiber.dedicated/alogin?dst=http%3A%2F%2Fviewdns.info%2Freverseip%2F%3Fhost%3Dworkout.de%26amp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bamp%3Bt%3D1 HTTP/1.1" 400 0 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.130 Safari/537.36"
Что это? Это DDoS-атака типа DNS flood или что? Пожалуйста помоги.
добро пожаловать в Интернет.
Кто-то пытается использовать ваш сервер в качестве прокси для атаки на чужую машину. Это не похоже на DOS-атаку на ваш сервер.
Поскольку попытки были достаточно частыми, чтобы разбудить людей вы платите, чтобы предоставить вам эту поддержку это скорее означает, что злоумышленники добились определенного успеха. Однако ваш сервер, похоже, правильно отвечает с ответом 400, отклоняющим запрос.
Пока у вас нет чего-то глупого, например, использования специального обработчика ошибок, который возвращает большой объем контента, с этим ничего не поделать. Это не совсем так, но из вашего вопроса у меня сложилось впечатление, что у вас нет навыков, бюджета и хостинга, чтобы решить эту проблему.
Быть жертвой DDoS-атаки не обязательно создавать что-либо в журналах: это просто истощает пропускную способность сети, что беспокоит вашего хостинг-провайдера. Если ваш сервер использовался для В результате такой атаки вы можете найти доказательства вторжения или действий, генерирующих трафик из ваших журналов.
Когда до вас доходит такое уведомление и вы начинаете читать журналы, которые не исследовали раньше, вы найдете все виды не связанный аномалии. У меня такая же психологическая проблема со старыми автомобилями: всякий раз, когда я думаю, что что-то не так, даже все шумы, которые я должен знать, звучат как новые и тревожные. Точно так же в ваших журналах всегда были всевозможные аномальные запросы.