Q&A
意図や方法としては攻撃かもしれませんが、単なるアクセスの集中では?
Apacheのプロセス数が急増し、DISKのREAD値が異常に跳ね上がり(平常時200kb→攻撃時60Mb)、Apacheがダウンします。
サーバはCentOS7、Apache2.4.6です。
この攻撃はerror_logが残らず、mod_dosdetectorも反応せず、mod_limitipconnでの制限も無視し、Timeoutも効かず、いきなりApacheのプロセス数上限に達しパンクします。
対処方法がわからず途方に暮れている状態でございます。お力添え頂けないでしょうか。
アクセスログには以下のような記録が大量に残ります(1万行くらい)。1分くらい攻撃を受けると408が400に変わります。(※IPやドメイン名は例です)
123.456.789.12 - - [26/Oct/2019:13:11:37 +0900] "GET http://exsample.com HTTP/1.1" 408 221 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"
123.456.789.12 - - [26/Oct/2019:13:11:37 +0900] "GET http://exsample.com HTTP/1.1" 408 221 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"
123.456.789.12 - - [26/Oct/2019:13:11:37 +0900] "GET http://exsample.com HTTP/1.1" 408 221 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"
123.456.789.12 - - [26/Oct/2019:13:11:37 +0900] "GET http://exsample.com HTTP/1.1" 408 221 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"
123.456.789.12 - - [26/Oct/2019:13:12:37 +0900] "GET http://exsample.com HTTP/1.1" 400 226 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"
123.456.789.12 - - [26/Oct/2019:13:12:37 +0900] "GET http://exsample.com HTTP/1.1" 400 226 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"
123.456.789.12 - - [26/Oct/2019:13:12:37 +0900] "GET http://exsample.com HTTP/1.1" 400 226 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"
123.456.789.12 - - [26/Oct/2019:13:12:37 +0900] "GET http://exsample.com HTTP/1.1" 400 226 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"
---------------------- ご質問に関しての追記 ---------------------
犯人が攻撃している部分はindex.htmlであり、ただの静的なページになります。パラメータも付いていない点、PHPなども含まれておらず、apacheかそれよりも前の脆弱性を狙っているものと推測しております。
全てのリクエストはドメイン名のみでパス指定なしのものでしょうか?
IP同じようですが、どこからきているのか?調べてみるといいかもしれませんね。
https://www.ipa.go.jp/security/vuln/vuln_contents/dos.html
DoS/DDoS攻撃でしょう。専門家に相談するか、それに対応したサービスに加入するか、IPAさんを含め専門的な情報を参考にされるとよろしいかと。あとは、警察に届けましょう。
(回答欄のコメントに対してのコメントですが...)
> この攻撃を受ける前に犯人から犯行予告および金銭の請求があったため、海外からのIPは全て遮断していました。
という状況であれば、ちょっとした対策で回避したとしても、また狙われると思うので、警察&専門のコンサルタントに依頼するのがいいのではないかと思います。
既に被害届も出しており、犯人も結構有名な方だったようで身元も特定できている状況です。放っておいても検挙されると思います。日本の法律上逮捕まで相当時間がかかるようで、ひとまず自己防衛するしか無いようです。
回答3件
0
ベストアンサー
Apacheではなくiptablesレベルで制限をかけるとどうでしょう?
参考:Limit max connections per IP address and new connections per second with iptables
- the maximum connections per IP address to httpd to 10
- the maximum new connections per second to httpd to 150
投稿2019/10/29 05:59
総合スコア6149
0
CDNを使用してはいかがでしょうか?
今はリクエストが全てサーバーまで来ていてレスポンスを行なっているようですが、静的ページなのであればCloudFrontやCloudFlareなどを用いることで大幅にオリジン(サーバー本体)へのリクエストを減らすことができます。
CloudFlareはDDosなどをブロックする機能もあるので利用可能そうであれば使用するのも手です
投稿2019/10/29 05:47
総合スコア26
どっちかっていうとDoS攻撃ですけどね
ご回答ありがとうございます。index.html自体に意味がなく、javascriptでちょっとしたサービスを提供している形でございます。
cloudFlareは無料で使用可能であったりもするので活用してみる価値はあるとおもいます
なんでもキャッシュするとこんなことにもなるので、ユーザーのクリティカルなデータを扱っている場合は気をつけてください
https://tech.mercari.com/entry/2017/06/22/204500
ご回答ありがとうございます。これは盲点でした。
0
Microsoft Edgeから来てるんですね(出た、変態UA)
サービスの規模にもよりますが以下の対象はいかがでしょうか?
- 1, 海外IPの場合、その国からのアクセス遮断
- 2, VPNからの接続遮断
- 3, 特定IPからのアクセス遮断
投稿2019/10/29 02:12
総合スコア10434
3が一番下なのは効果がなさそうだからです。
(実践済み・状況が少し違いますが)
ご回答ありがとうございます。この攻撃を受ける前に犯人から犯行予告および金銭の請求があったため、海外からのIPは全て遮断していました。犯人が使っているIPは国内の中継サーバ等を多数使用しているようです。
中継サーバーということはVPN系ですよね?それも遮断して問題はないと思います。
遮断している有名な例としては5chやWikipedia(未ログイン)です。
ちなみに平常時のアクセス数とサーバーのスペックを教えていただけませんか?
ご回答ありがとうございます。vpnのみを弾くという処理を組んだことが無いのですが、犯人が使用しているIPは一般プロバイダやキャリア携帯のIPも多く使用しており、普段からそういったクラッキングを行っている業者のようです。
平常時のアクセス数は月2000万程、金銭的な事情でサーバのスペックはそもそも非常に低いです。
外部の対処サービスを利用してみるのも手かもしれません(もし、料金が損害額を上回りそうだったら)
あなたの回答
tips
プレビュー
