几分钟前有人开始攻击我的网站,这导致 PHP-FPM 将我的 vps 上的所有核心 (4) 最大化,而 NGINX 现在为所有用户提供 502。
我看到一堆这样的请求,有大量不同的代理
xx.xxx.xx.xx - - [10/Nov/2014:5:14:35 -0500] "POST / HTTP/1.1" 502 574 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/536.11 (KHTML,如 Gecko)Chrome/20.0.1132.47 Safari/536.11"
我还看到来自各种 WordPress 网站的大量请求
xxx.xx.xxx.xxx - - [10/Nov/2014:5:14:35 -0500] "GET / HTTP/1.0" 502 172 "-" "WordPress/3.9.2; http://www.xxxxxxx .com ; 验证来自 xx.xxx.xxx.xxx 的 pingback”
这是什么类型的攻击,我该如何帮助减轻它?看起来像是某种僵尸网络,它每秒有无数来自不同 IP 和代理的请求。
我正在运行一个论坛,所以我的网站严重依赖 nginx 传递给 php。如果重要的话,我在 NGINX 1.7.7 和 PHP 5.6.2 上。NGINX 在攻击期间几乎为零负载。
编辑:所以显然我没有提供足够的信息。
我经营着一个很小的论坛——每天可能有 100-200 个不同的成员。通常负载非常低 - 我的东西缓存和配置得很好。有人来到我的网站并告诉我他将试图关闭我的网站。几分钟后,我的日志中充满了数百个(每秒)来自所有不同 IP 和各种 wordpress 博客的这些 POST 和 GET。该站点开始提供 502 错误。我使用 HTOP 检查了服务器使用情况,发现 php5-fpm 几乎 100% 使用了 VPS 的所有 4 个内核。我迅速关闭了 nginx,负载立即归零。我故意把它关了几个小时,然后又把它放回去,发现攻击已经停止了。
虽然目前没有主动攻击,但我想帮助减轻该用户能够做的事情。我正在使用 OVHs 网络,所以我被他们的 Anti DDoS VAC 系统所覆盖——但这似乎是在应用程序级别,显然这对我没有帮助。
我对网络服务器不太聪明,所以我不知道如何“检查”这些帖子请求中的内容。我从访问日志中看到的只是大量的唯一 IP,它们都在向我的域的根目录执行 POST。