У меня есть новый веб-сервер CentOS7, на котором работает virtualmin. На нем размещен новый сайт WordPress, который только что запущен в производство.
Начиная с середины дня, с четверти часа до секунды, я устраняю скачки нагрузки на сервер. В разное время, но чаще всего во время этих всплесков, файл access_log заполняется сотнями таких записей:
50.84.83.122 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
50.79.197.249 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
12.147.195.3 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
207.91.154.164 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
173.241.65.202 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
12.19.212.186 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
71.78.224.10 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
208.69.145.81 - - [25/Mar/2020:22:00:09 -0700] "GET / HTTP/1.1" 301 - "-" "-"
Я не могу сказать, являются ли эти записи причиной или результатом всплесков нагрузки на сервер или чем-то еще. Недостаток данных пользовательских агентов также вызывает недоумение.
Я устранил wp-cron.php как виновника (отключенный cron и спайк все еще происходят, запускается вручную, не всплеск).
Я удалил все настраиваемые перенаправления 301 в моем файле .htaccess, отключил плагин перенаправления 301, но все еще получаю записи. На данный момент единственное перенаправление осуществляется через Общие настройки WordPress, где у меня есть https://example.com как URL-адреса WordPress и сайта.
Что означают эти записи и как они связаны с резкими скачками нагрузки на сервер?
Изменить: добавление - если я ищу эти IP-адреса в остальной части журнала доступа, у них есть только эти повторяющиеся 301 запись (все те, которые я проверял, каждые несколько секунд или минут в течение более 48 часов) и никаких запросов для любого другого Интернета страниц. Я почти думаю, что это нападение? Это имело бы смысл? На этом сервере есть еще два сайта (тот же IP, другой SNI), которые имеют нормальные журналы без 301 флуда. Я проверил IP-адреса, чтобы убедиться, что они находятся в черных списках, и они вернулись чистыми.
Это DDoS-атака.
С помощью консультанта по безопасности мы выявили и предотвратили атаку ботов на один веб-сайт. Для справки в будущем, если у кого-то есть подобная проблема, эти записи httpd были лишь одной подсказкой. То, что IP-адреса никогда не запрашивали другую страницу, что журналы с предыдущего хоста имели аналогичные записи, анализ журналов DNS, а также глубокий анализ журналов httpd и многое другое, все привело к такому выводу. Атака нейтрализована на сетевом уровне.