久々に猛烈なサーバアラートが来たので調査。
犯人はこちらでした
*.bc.googleusercontent.com
というサブドメイン。一見グーグルっぽいですが、一切関係ないと思ってください
ここからのアタックを食らうと、サーバリソースが枯渇します。
主にCPU、LA、受信トラフィックあたりに強烈な影響が出るので、とりあえずブロックかけました。
以下、3パターンを記載。
■htaccessパターン
---------------
order allow,deny
allow from all
deny from *.bc.googleusercontent.com
---------------
■httpd.conf記述パターン
---------------
<Location />
order allow,deny
allow from all
deny from *.bc.googleusercontent.com
</Location>
---------------
■nginxパターン(ここはIP帯でブロック。とりあえず出てきたやつだけ)
---------------
location ~ ^/ {
deny 35.221.0.0/16;
deny 35.236.0.0/16;
deny 34.78.0.0/16;
deny 35.210.0.0/16;
deny 34.71.0.0/16;
deny 35.200.0.0/16;
deny 35.190.0.0/16;
deny 34.97.0.0/16;
}
---------------
■iptablesパターン(以下は例。ご自身の設定に合わせてください)
---------------
-A INPUT -s 35.236.0.0/16 -j DROP
-A INPUT -s 34.78.0.0/16 -j DROP
-A INPUT -s 35.210.0.0/16 -j DROP
-A INPUT -s 34.71.0.0/16 -j DROP
-A INPUT -s 35.200.0.0/16 -j DROP
-A INPUT -s 35.190.0.0/16 -j DROP
-A INPUT -s 34.97.0.0/16 -j DROP
---------------
■netstatでのIPリスト出力コマンドは下記
netstat -ntu | awk '{print $5}' | cut -d: -f1 | sort | uniq -c | sort -n
かなり豪快なやつでしたが、10分で対応完了。怖かったw
