Mijn vraag
Onze nieuwe website wordt overspoeld met GET-request, met allemaal dezelfde format:
GET /product/extern?select=aaa-bbb-ccc-ddd-eee
Dat aaa-bbb- etc als voorbeeld, het zijn nogal wat 3-karakter varianten. Ik heb ze al in honderden varianten gezien, soms. kort, soms een serie van 10. Het gaat om vele berichten per seconde en het is al weken aan de gang. Het is afkomstig van 1000e IP's.
Hoe kom ik er vanaf?
Relevante software en hardware die ik gebruik
VPS bij TransIP achter Cloudflare, Ubuntu 24.04, NGINX, PHP8.4, MariaDB, WP7, WooCommerce
Wat ik al gevonden of geprobeerd heb
Als ik niets doe, is de site niet meer bereikbaar, zo ontdekte ook het probleem. Nu pas ik het volgende toe: In NGNIX herken ik de '?select' en geneer ik unieke foutcode. In fail2ban levert die foutcode in de access log direct een ban op van 7 uur, daarna steeds langer. Ik heb op dit moment zo'n 8000 bans in de jail.
Dat werkt maar ik zie in htop de CPU-load oplopen. Nu al pieken tot 70%. Die CPU-kracht gaat in fail2ban zitten.
De website zelf is niet gecompromitteerd. Ik check met hashes op de Wordpress files of er wijzigingen zijn.
Onze nieuwe website wordt overspoeld met GET-request, met allemaal dezelfde format:
GET /product/extern?select=aaa-bbb-ccc-ddd-eee
Dat aaa-bbb- etc als voorbeeld, het zijn nogal wat 3-karakter varianten. Ik heb ze al in honderden varianten gezien, soms. kort, soms een serie van 10. Het gaat om vele berichten per seconde en het is al weken aan de gang. Het is afkomstig van 1000e IP's.
Hoe kom ik er vanaf?
Relevante software en hardware die ik gebruik
VPS bij TransIP achter Cloudflare, Ubuntu 24.04, NGINX, PHP8.4, MariaDB, WP7, WooCommerce
Wat ik al gevonden of geprobeerd heb
Als ik niets doe, is de site niet meer bereikbaar, zo ontdekte ook het probleem. Nu pas ik het volgende toe: In NGNIX herken ik de '?select' en geneer ik unieke foutcode. In fail2ban levert die foutcode in de access log direct een ban op van 7 uur, daarna steeds langer. Ik heb op dit moment zo'n 8000 bans in de jail.
Dat werkt maar ik zie in htop de CPU-load oplopen. Nu al pieken tot 70%. Die CPU-kracht gaat in fail2ban zitten.
De website zelf is niet gecompromitteerd. Ik check met hashes op de Wordpress files of er wijzigingen zijn.
Mijn huis is slimmer dan ik...