Ataques nginx causando 502 Bad Gateway

[IagoSouza]

Opa pessoal, de uns três dias para cá venho recebendo os seguinte tipo de ataque:

http://pastebin.com/9n6H60Qx

 

Antes estava utilizando esta solução: https://rtcamp.com/tutorials/nginx/fail2ban/

 

Porém parou de funcionar, alguma sugestão?

 

 

 

-----

 

Pessoal semi resolvido o problema, tinha esquecido de adicionar a regra:

 

limit_req   zone=one  burst=1 nodelay;

limit_req_status 444;

 

em um de meus sites do nginx.

 

Mas como eu poderia realmente eliminar este tráfego falso sem eliminar o tráfego verdadeiro? Hoje mesmo eu fui acessar o phpmyadmin e tomei ban pelo método atual de uso.

[LucianoZ]

Opa pessoal, de uns três dias para cá venho recebendo os seguinte tipo de ataque:

http://pastebin.com/9n6H60Qx

 

Antes estava utilizando esta solução: https://rtcamp.com/tutorials/nginx/fail2ban/

 

Porém parou de funcionar, alguma sugestão?

 

 

 

-----

 

Pessoal semi resolvido o problema, tinha esquecido de adicionar a regra:

 

em um de meus sites do nginx.

 

Mas como eu poderia realmente eliminar este tráfego falso sem eliminar o tráfego verdadeiro? Hoje mesmo eu fui acessar o phpmyadmin e tomei ban pelo método atual de uso.

 

Usa CSF?

Bloqueia a China, Japão e Russia.

São de onde vem os ddos mais charope.

Procure por CC_DENY no csf.

[Jorge Marcelino]

Usa CSF?

Bloqueia a China, Japão e Russia.

São de onde vem os ddos mais charope.

Procure por CC_DENY no csf.

 

Pelos ips alí, a maioria são US,PL,UK

[LucianoZ]

Pelos ips alí, a maioria são US,PL,UK

 

não cheguei a fazer um whois, mais a dica ainda continua...

[Jorge Marcelino]

não cheguei a fazer um whois, mais a dica ainda continua...

 

Por mais que ele saia bloqueando os países, vai acabar sobrecarregando o servidor e mesmo assim o ataque vai passar, creio que a melhor escolha é contratar um plano Antiddos no atual data center se assim houver, ou migrar para um que disponibilize esse serviço.

[IagoSouza]

Bem resolvi o problema criando uma regra no fail2ban para banir todos ip's por 24h que aparecerem mais de x vezes em determinado tempo no error.log como excesso de requisição, o trafego no access.log já está bem mais normal com uns 90% de trafego limpo e 10% ataque e os sites estão sem problema desde então :)

 

Quando eu tiver certeza que a regra está banindo apenas ip's de ataque estarei dando ban 0 em todos.

 

Sobre o CSF irei dar uma lida e configurar se necessário, obrigado a todos :)

[Luciana Mattos]

Cuidado para não bloquear ips de clientes, sempre tem aqueles clientes que consegue criar um errorlog de 1GB em um dia.

[RobertSP]

Seu nginx está é mal configurado e/ou CPU limitada, ocasionando erro 502 devido ao alto tráfego (real) dos sites.

Isso é mais comum do que imagina... não estou afirmando, até pq p/ ter certeza somente tendo mais detalhes e acesso a máquina.

[IagoSouza]

Seu nginx está é mal configurado e/ou CPU limitada, ocasionando erro 502 devido ao alto tráfego (real) dos sites.

Isso é mais comum do que imagina... não estou afirmando, até pq p/ ter certeza somente tendo mais detalhes e acesso a máquina.

 

Não é má configuração e/ou CPU limitada, realmente são ataques. Ficar efetuando request em uma x página ou em várias e ai sim ocasionando uma sobrecarga no servidor, como você deve ter visto no pastebin eram mais de 166 request por segundo, sendo que junto todos os sites que eu hospedo não tem mais de 300 usuários o dia todo.

[LucianoZ]

Por mais que ele saia bloqueando os países, vai acabar sobrecarregando o servidor e mesmo assim o ataque vai passar, creio que a melhor escolha é contratar um plano Antiddos no atual data center se assim houver, ou migrar para um que disponibilize esse serviço.

 

Ataques que vão sobrecarregar o apache para ficar off geralmente não são muito fortes, e pode-se evitar com isto, sobrecarregar um pouco vai mais não absurdamente.