先森的1M带宽小服务器老是收到带宽超限告警,而且告警时间非常不规律,有时候在上班,有时候又在半夜,加上先森不怎么在意,就没怎么管。但是上周末先森在家的时候收到了告警,而且还是持续告警,正好有时间,又复现了,先森就想着把这问题解决一下。
服务器带宽超限告警
排查根因
刚打开破电脑,就收到告警恢复的短信,但是来都来了,先森还是想着看能不能找到蛛丝马迹。打开iftop一筹莫展的时候,发现出流量又增加了,这不是让先森逮了个正着么。
但是iftop不显示进程信息啊,先森也不知道流量是哪里来的,然后搜了一下,发现可以使用`iftop -P`来显示端口,然后根据端口,使用lsof或ss、netstat等命令来查这个端口,进而找到pid。
找了一圈,先森发现持续产生流量的竟然是Nginx服务,看来是网站被人攻击了,导致带宽超限。先森域名用的有点多,还好日志都放在一个目录,直接通过一个cat *.log |grep IP找到了被攻击的网站,就是本站域名。
进而分析网站日志,发现都和xmlrpc.php有关,当时网站日志一直在刷如下图的请求。
网站请求日志
开始先森还以为是直接请求的这个文件,但是仔细看了一下,好像还不是。这里请求的是网站根目录,xmlrpc.php这个位置是请求referer。
解决问题
先森去搜了一下,看来受到xmlrpc.php影响的不在少数。而且这玩意好像影响还挺大,除了可以拿来做DDoS攻击以外,竟然还能绕开CDN来获取服务器真实IP?!这还得了。另外还可以突破登录密码尝试限制,着实恐怖如斯。
先森搜到的文章中给出了关闭xmlrpc.php的办法,但是这些都是在WordPress或者Nginx或Apache这些web服务器上做限制,先森就不想让这些服务请求到先森的服务器。
xmlrpc.php攻击
另外先森对攻击者能通过xmlrpc.php能拿到服务器真实IP也很在意,但是通过Nginx记录的客户端IP去查了一下,发现都是EO的回源IP,那就还好。
IP归属查询
之前EO有活动,可以兑换EO免费版,号称永久免费。但是貌似限制也在逐步加码,不过总比先森之前买CDN流量包好多了,反正先森也只是保证博客活着,也没怎么管理了。
言归正传,EO全程是边缘安全加速平台,在CDN的基础上强调了安全,也就是类似CDN+WAF的一个产品。那么用了EO,就把安全这块也用起来。
之前也说了,先森开始以为是直接访问的是/xmlrpc.php这个文件,然后先森在安全防护->web防护->自定义规则这里禁止访问xmlrpc.php这个文件,但是发现请求日志依旧框框的刷,开始还以为是像CDN一样,改一个配置就要部署5~10分钟,结果发现没效果就是没效果。
然后发现是通过“http://capjsj.cn/xmlrpc.php”这个referer来请求网站根目录,特征非常明显了,直接在自定义规则禁止该referer的请求即可,真的是配置上的那一刻,世界都安静了,日志像是按了暂停键一样。这一刻,大赞EO。
EO自定义规则配置
防护效果
目前距离配置上这个EO自定义规则已经过去一周了,12月14日先森配置的规则,当天xmlrpc.php这个referer的请求数量高达1.5万条,之前就都是0了,防护效果还是非常OK的。
防护效果
今天又是周末,闲着也是闲着,记录一下。
转载请注明出处来自https://www.capjsj.cn/server_bandwidth_alert.html
川公网安备 51011202000104号