Ataques internos

[lostonyx]

Olá,

Recentemente comecei a receber alguns tipos de ataques na porta 80 do servidor (rodando Nginx como proxy reverso)...

Os ataques são "interessantes" porque a maioria das conexões (em torno de 50.000) aparecem como feitas pelo IP principal da máquina (rodando o cPanel).

Ao que parece alguém está com uma hospedagem realizando os ataques internos, como o firewall (CSF) ignora o IP principal na proteção o servidor cai...

Alguém teria alguma sugestão de como impedir este tipo de conexão? (Talvez não tenha explicado muito bem, mas é um básico do que está ocorrendo)

[LucasOliveira]

Parece que o ataque está indo na porta 80 e o nginx esta´mandando para o apache com o ip da maquina.

 

Já verificou se o nginx está repassando o ip real dos visitantes?

[lostonyx]

Agora, LucasOliveira disse:

Parece que o ataque está indo na porta 80 e o nginx esta´mandando para o apache com o ip da maquina.

 

Já verificou se o nginx está repassando o ip real dos visitantes?

No caso, essa verificação do IP que está acessando é no próprio nginx (utilizo o Engintron), ao verificar os IPs conectados na porta 80 ele mostra o IP do servidor.

E sim, está repassando o IP real.

[Alexandre Duran]

Desabilita temporariamente o engitron e ve o resultado

[lostonyx]

6 minutos atrás, Alexandre Duran disse:

Desabilita temporariamente o engitron e ve o resultado

Bloqueei o IP interno na porta 80, todos os domínios foram bloqueados haha

Troquei para o Varnish Cache (tirei o Engintron), se ocorrer novamente volto aqui :)

[Agnaldofreitas]

o seu nginx não está pegando o ip real, por conta do varnish, voce precisa configura a restauração de ip corretamente, ele tá pegando o ip padrão da maquina, já aconteceu com migo, tente isso na sua vcl do varnish cache

 

sub vcl_recv {
  unset req.http.X-Forwarded-For;
  set req.http.X-Forwarded-For = client.ip;
}