質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

Q&A

解決済

3回答

5087閲覧

Apacheでプロセス数が急増しサーバをダウンさせる攻撃

kitamura472

総合スコア7

Apache

Apacheは、Apache HTTP Serverの略で、最も人気の高いWebサーバソフトウェアの一つです。安定性が高いオープンソースソフトウェアとして商用サイトから自宅サーバまで、多くのプラットフォーム向けに開発・配布されています。サーバーソフトウェアの不具合(NCSA httpd)を修正するパッチ(a patch)を集積、一つ独立したソフトウェアとして開発されました。

セキュリティー

このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

0グッド

10クリップ

投稿2019/10/29 00:45

編集2019/10/29 05:16

Apacheのプロセス数が急増し、DISKのREAD値が異常に跳ね上がり(平常時200kb→攻撃時60Mb)、Apacheがダウンします。

サーバはCentOS7、Apache2.4.6です。

この攻撃はerror_logが残らず、mod_dosdetectorも反応せず、mod_limitipconnでの制限も無視し、Timeoutも効かず、いきなりApacheのプロセス数上限に達しパンクします。

対処方法がわからず途方に暮れている状態でございます。お力添え頂けないでしょうか。

アクセスログには以下のような記録が大量に残ります(1万行くらい)。1分くらい攻撃を受けると408が400に変わります。(※IPやドメイン名は例です)

123.456.789.12 - - [26/Oct/2019:13:11:37 +0900] "GET http://exsample.com HTTP/1.1" 408 221 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"
123.456.789.12 - - [26/Oct/2019:13:11:37 +0900] "GET http://exsample.com HTTP/1.1" 408 221 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"
123.456.789.12 - - [26/Oct/2019:13:11:37 +0900] "GET http://exsample.com HTTP/1.1" 408 221 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"
123.456.789.12 - - [26/Oct/2019:13:11:37 +0900] "GET http://exsample.com HTTP/1.1" 408 221 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"
123.456.789.12 - - [26/Oct/2019:13:12:37 +0900] "GET http://exsample.com HTTP/1.1" 400 226 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"
123.456.789.12 - - [26/Oct/2019:13:12:37 +0900] "GET http://exsample.com HTTP/1.1" 400 226 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"
123.456.789.12 - - [26/Oct/2019:13:12:37 +0900] "GET http://exsample.com HTTP/1.1" 400 226 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"
123.456.789.12 - - [26/Oct/2019:13:12:37 +0900] "GET http://exsample.com HTTP/1.1" 400 226 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.142 Safari/537.36"

---------------------- ご質問に関しての追記 ---------------------
犯人が攻撃している部分はindex.htmlであり、ただの静的なページになります。パラメータも付いていない点、PHPなども含まれておらず、apacheかそれよりも前の脆弱性を狙っているものと推測しております。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

yambejp

2019/10/29 01:08

意図や方法としては攻撃かもしれませんが、単なるアクセスの集中では?
yut148

2019/10/29 01:16

全てのリクエストはドメイン名のみでパス指定なしのものでしょうか?
yoorwm

2019/10/29 01:31

IP同じようですが、どこからきているのか?調べてみるといいかもしれませんね。
CHERRY

2019/10/30 01:01

(回答欄のコメントに対してのコメントですが...) > この攻撃を受ける前に犯人から犯行予告および金銭の請求があったため、海外からのIPは全て遮断していました。 という状況であれば、ちょっとした対策で回避したとしても、また狙われると思うので、警察&専門のコンサルタントに依頼するのがいいのではないかと思います。
kitamura472

2019/10/30 08:38

既に被害届も出しており、犯人も結構有名な方だったようで身元も特定できている状況です。放っておいても検挙されると思います。日本の法律上逮捕まで相当時間がかかるようで、ひとまず自己防衛するしか無いようです。
guest

回答3

0

ベストアンサー

Apacheではなくiptablesレベルで制限をかけるとどうでしょう?

参考:Limit max connections per IP address and new connections per second with iptables

  • the maximum connections per IP address to httpd to 10
  • the maximum new connections per second to httpd to 150

投稿2019/10/29 05:59

YouheiSakurai

総合スコア6142

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kitamura472

2019/10/29 07:53

ご回答ありがとうございます。この発想はありませんでした。調べてみます。
guest

0

CDNを使用してはいかがでしょうか?
今はリクエストが全てサーバーまで来ていてレスポンスを行なっているようですが、静的ページなのであればCloudFrontやCloudFlareなどを用いることで大幅にオリジン(サーバー本体)へのリクエストを減らすことができます。
CloudFlareはDDosなどをブロックする機能もあるので利用可能そうであれば使用するのも手です

投稿2019/10/29 05:47

Zonoooon

総合スコア26

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kyoya0819

2019/10/29 05:50

どっちかっていうとDoS攻撃ですけどね
kitamura472

2019/10/29 07:42

ご回答ありがとうございます。index.html自体に意味がなく、javascriptでちょっとしたサービスを提供している形でございます。
Zonoooon

2019/10/29 11:07

cloudFlareは無料で使用可能であったりもするので活用してみる価値はあるとおもいます なんでもキャッシュするとこんなことにもなるので、ユーザーのクリティカルなデータを扱っている場合は気をつけてください https://tech.mercari.com/entry/2017/06/22/204500
kitamura472

2019/10/30 00:24

ご回答ありがとうございます。これは盲点でした。
guest

0

Microsoft Edgeから来てるんですね(出た、変態UA)
サービスの規模にもよりますが以下の対象はいかがでしょうか?

  • 1, 海外IPの場合、その国からのアクセス遮断
  • 2, VPNからの接続遮断
  • 3, 特定IPからのアクセス遮断

投稿2019/10/29 02:12

kyoya0819

総合スコア10429

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

kyoya0819

2019/10/29 02:14

3が一番下なのは効果がなさそうだからです。 (実践済み・状況が少し違いますが)
kitamura472

2019/10/29 05:22

ご回答ありがとうございます。この攻撃を受ける前に犯人から犯行予告および金銭の請求があったため、海外からのIPは全て遮断していました。犯人が使っているIPは国内の中継サーバ等を多数使用しているようです。
kyoya0819

2019/10/29 05:43 編集

中継サーバーということはVPN系ですよね?それも遮断して問題はないと思います。 遮断している有名な例としては5chやWikipedia(未ログイン)です。
kyoya0819

2019/10/29 05:44

ちなみに平常時のアクセス数とサーバーのスペックを教えていただけませんか?
kitamura472

2019/10/29 07:51

ご回答ありがとうございます。vpnのみを弾くという処理を組んだことが無いのですが、犯人が使用しているIPは一般プロバイダやキャリア携帯のIPも多く使用しており、普段からそういったクラッキングを行っている業者のようです。 平常時のアクセス数は月2000万程、金銭的な事情でサーバのスペックはそもそも非常に低いです。
kyoya0819

2019/10/29 13:50

外部の対処サービスを利用してみるのも手かもしれません(もし、料金が損害額を上回りそうだったら)
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問