Как предотвратить DOS-атаку на xmlrpc.php

Question

Как предотвратить DOS-атаку на xmlrpc.php

Недавно у нас возникли проблемы с DOS-атакой на наш основной веб-сайт, который запускается с использованием Apache httpd 2.2.9 и Drupal 6.35. Атака - это сообщение для xmlrpc.php Дупала, который является известным эксплойтом, который был исправлен в последних версиях Drupal. Однако, поскольку это более старая версия, исправления для эксплойта нет в нашей установке Drupal - и не будет, потому что в течение трех месяцев мы переходим на хост-платформу.

Сначала я попытался противодействовать DOS, переименовав xmlrpc.php, который возвращает 404, но этого все же достаточно, чтобы создать ветку apache для каждого поста. В результате несколько объединенных потоков занимают много памяти, поэтому проблема остается.

Итак, основываясь на еще одном поиске, я только что изменил.htaccess следующим образом:

<Files "xmlrpc.php">
Order Allow,Deny
deny from all
</Files>

С этого момента, по-видимому, больше не будет потока httpd, созданного для каждого вызова.

Как вы думаете, этого достаточно? Я мог бы пойти еще дальше, включив возможность отслеживать трафик на VPC, а также находить и блокировать исходящие IP-адреса, но я не знаю, будет ли это эффективно, потому что атаки могут исходить от множества угнанных системы. Хотя мне любопытно узнать. Какие-нибудь мысли?

0

apache-2.2 .htaccess exploit xmlrpc

Источник

Jack BeNimble 13 апр '16 в 14:29

1 ответ

Решение

Другие вопросы по тегам apache-2.2 .htaccess exploit xmlrpc

Jason Martin 13 апр '16 в 15:26 2016-04-13 15:26 · Accepted Answer · 2016-04-13 15:26

Блок Deny все еще требует, чтобы apache обработал запрос достаточно далеко, чтобы увидеть, что он совпадает с deny, и, скорее всего, равен "стоимости" как 404.

Вы говорите "DOS", но имеете в виду настоящую атаку или это случайные сканеры? Случайные сканеры обычно не управляют достаточным трафиком, чтобы сделать 404-е /403-е для них проблемой.

Это за ELB? Если нет, вы должны увидеть адреса источников в журналах доступа. Вы можете посмотреть на реализацию такого инструмента, как Fail2Ban, чтобы отслеживать этот шаблон, и ввести временное правило iptables для блокировки доступа к этому IP на определенный период времени.

Если он находится за ELB, вы могли бы сделать что-то подобное, кроме написания пользовательской прокладки для работы с ACL подсети VPC, которые содержат ELB.