@oronzo_canà said:
riprendo questa discussione perché il problema continua a persistere e anzi sta assumendo aspetti grotteschi : la nostra azienda di hosting non ci permette di accedere al VPS da Shell e quindi non possiamo agire su IPtable con i comandi che ci sono stati indicati , ma dobbiamo limitarci all'interfaccia firewall di plesk che permette soltanto di bloccare singoli IP o singoli hostname.
Mi sa che è ora di cambiare hoster
Fortunatamente gli "attacchi" ora provengono per lo più da IP statici ma ,
Il problema è che non è detto che continuino così. L'uso di ip statici può dipendere dal fatto che hanno compromesso server o comunque macchine always on e/o con ip statico. Appena blocchi quelli passeranno ad altri bot che potrebbero benissimo essere dei normali pc con ip dinamici.
cosa davvero strana , se prima si trattava di IP esteri per lo più russi , ora si tratta di IP italiani riconducibili ad aziende serie ( finora due banche , una multinazionale del Nord Italia e .. udite udite , la rete aziendale di un nostro fornitore ).
Forse vogliono aumentare l'efficienza del DDOS.
Per questo ho messo la parola "attacchi" fra parentesi e sinceramente non ci capisco + niente perché non mi è mai successo nulla di simile : o i malintenzionati hanno acceso ai PC di queste aziende oppure è il mio sistema ad avere qualcosa che non va. Infatti leggendo i log , questi IP di fatto richiedono più volte nell'arco di un secondo la stessa risorsa , come se ci fosse una sorta di loop fra il loro browser e il mio sito.
Comportamento normale per dei bot che cercano vulnerabilità oppure per dei DDOSer. Il fatto che siano usati IP di aziende serie non significa nulla, pensa che 3 anni fa mi imbattei nei PC e nei server appartenenti ad un noto partito politico italiano e tutti pieni zeppi di spyware. No dico, politici spiati a go-go, è triste ma è questo lo stato della sicurezza informatica in Italia e non solo.
In sostanza imho non è un problema del tuo sito ma stai semplicemente subendo degli attacchi volti ad indagare la struttura della tua rete o dell'intera rete dell'hoster oppure a bloccare il sito.
Altro dato molto strano è che l'uso di risorse ( CPU e banda ) sale vertiginosamente durante questi "attacchi" , ma solamente il frontend del sito ( joomla ) diventa tutto bianco , mentre il backend continua a funzionare. Il tutto comunque si risolve riavviando Apache.
Puoi mitigare il problema usando il caching delle pagine più richieste ma dubito che abbia effetti a lungo termine.
C'è qualche esperto che sarebbe disposto a dare un'occhiata in privato ai miei log per studiare questo strano "fenomeno"?
Posso darti una mano se vuoi, però la soluzione è esclusivamente quella di usare iptables per limitare il numero di richieste al secondo dei client. In alternativa la soluzione sarebbe installare un firewall hardware e secondo me il tuo hoster vuole proprio farti acquistare quel servizio perciò fa tanto il prezioso sull'accesso ssh al vps.
P.S. lo dico per esperienza, perchè anni fa mi sono ritrovato nella tua stessa situazione ( avendo siti commerciali di natura molto sensibile e in settori dove la concorrenza ama giocare sporco ) e ho risolto filtrando le richieste dei client. Ovviamente la mia fortuna è stata di non avere contro una grossa organizzazione altrimenti avrebbero potuto saturare l'intera banda del provider, ma in quel senso si sarebbero scontrati col provider stesso.
