Lepší a přísnější filtrace útoků a zbytečných robotů u webhostingu

[gtranslate]

V druhé polovině roku 2015 jsme spustili naší IPS/IDS (Intrusion Prevention Systems a Intrusion Detection Systems). Nejprve měla za úkol pouze sledovat provoz na našich serverech (byla to tedy IDS). Byli jsme překvapeni z obrovského počtu útoků. Například počet útoků na stránku s přihlašováním WordPress (wp-login.php) dosáhl průměrně 8 za vteřinu. Začátkem minulého týdne (15.4.2019) jsme to porovnali a již to bylo neuvěřitelných 63 pokusů za sekundu. A to umíme zatím detekovat pouze aktivitu na HTTP. Přitom HTTPS u nás už používá více jak polovina služeb.

Stránka wp-login.php se stala nejnavštěvovanější stránkou na všech našich stránkách. neuvěřitelné…

Útoky a aktivita neužitečných robotů už dosáhla takové meze, že se to na některých serverech začalo projevovat občasným zpomalením zákaznických služeb. Problém je, že převážnou část těchto útoků detekujeme jen okrajově, protože směřuje na weby využívající HTTPS.

U těchto webů nemůžeme prozatím využít naši IPS/IDS ochranu, protože nevidíme do provozu. V současnosti naši vývojáři pracují na metodě jak to udělat. Jenomže je to náročné, nákladné a velice náchylné na chyby, proto bude nasazení ještě nějakou dobu trvat.

Navíc to bude fungovat pouze pro nové NoLimit na HPE Moonshot (zřizované od listopadu 2017), kde se využívá technologie proxy serverů. Ale nemusíte se bát jakmile se vše odladí, tak nás čeká migrace. Všichni naši zákazníci budou přesunuti na HPE Moonshot, které využívají rychlejší servery s 3,4 Ghz procesory, NVMe SSD a s podporou mnoha nových moderních technologií. Náš NoLimit se vyvíjí a jsme teprve na začátku úžasné cesty technologického pokroku 😉

Prozatím nás ochrání DDoS ochrana a WEDOS honeypot

Naše DDoS ochrana je složena z několika vrstev. Část má na starosti útoky hrubou silou a část řeší řekněme ty chytřejší útoky. Tento rok jsme shodou okolností měli možnost vyzkoušet si obranu proti několika velice sofistikovaným útokům. Jeden byl dokonce celkem úspěšný. Právě kvůli němu jsme museli přidat další vrstvu.

Součástí této vrstvy je i velmi rychlá filtrování podle původu útoku a za dosti specifických podmínek. Shodou okolností právě to se nám teď bude hodit.

Od minulého roku testujeme software na analýzu velkého množství dat. Ze všech webhostingů (zhruba 103.000 aktivních) se stahují na jeden centrální server naprosto všechny myslitelné logy. Zde se analyzují, vyhodnocují a dají i zobrazit. Vše v reálném čase. Aktuálně se loguje průměrně 6 až 10 tisíc záznamů za sekundu.

Právě z těchto logů získáme podklady pro filtraci. Jednoduše řečeno, když někdo začne velice rychle “bušit” třeba do wp-login.php a to třeba i napříč servery, tak jeho IP adresa je rychle odeslána a zablokována. Takže jsme si vlastně ze všech webhostingů udělali takový velký honeypot 🙂

A takto to vypadalo u 10 nejvytíženějších serverů:

Čím více útočníků bylo přidáváno na blacklist, tím i klesala zátěž na servery. Vaše weby teď díky nové ochraně budou daleko rychlejší, protože většina serverů se zase začala nudit a tak to má být 🙂

Mimochodem ten velký červený sloupec to jsou proxy servery, které většinu provozu odbavily. Pokud máte dobře nastavené cachování, tak dokáží velice zrychlit váš web, protože se starají o všechen statický obsah.

Co filtrujeme a jak

V současné době se filtrují hlavně hromadné útoky na WordPress a to jak přes HTTP tak i HTTPS. Hlavně se zaměřujeme na ty, které útočí na wp-login.php a xmlrpc.php. Do budoucna přibudou další.

Dále jsme se rozhodli být přísnější k robotům, kteří jsou neohleduplní. Jsou to většinou roboti, kteří sbírají data, spíše by se dalo říct šmírují, a využívají je pro marketingové účely případně nabízí data pro SEO. Jeden takový robot dokonce dělal 7 % všech  přístupů na všechny weby, které u nás hostují.

Filtrování IP adres je prozatím nastaveno na 2 – 6 hodin.

Nové filtrace průměrně blokují 45% provozu! Další provoz blokuje IDS/ISP, která funguje jako další vrstva filtrací.

Pomůžete nám udělat webhosting rychlejší a bezpečnější?

Z našeho pohledu vše funguje rychleji a lépe. Od nasazení nemáme zatím žádné negativní reakce.  To však neznamená, že jsme něco  mohli přehlédnout. Byli bychom vám vděční za zpětnou vazbu k:

  • Používáte rozšířený redakční systém anebo e-shop a pravidelně se setkáváte s útoky na nějaký konkrétní soubor?
  • Přetěžuje váš web nějaký konkrétní robot, kterého nikdo nepotřebuje?
  • Brzo budeme nabízet ke všem službám (včetně VPS a dedikovaných serverů) možnost filtrací podle zemí (buď si některé země budete blacklistovat nebo naopak whitelistovat – máme otestováno a funguje).

Závěr

Díky zvýšenému počtu útoků a aktivitě robotů se obecně celý internet zpomaluje. Není to jen náš dojem a neděje se to jen u nás. Nás se to jen více dotýká protože hostujeme nejvíce malých a středních webů, které si nejčastěji volí redakční systém WordPress. Ten je skvělý a dobře u nás funguje. Jen je číslem jedna pro automatické hromadné útoky. Ty většinou selžou, ale stále generují zátěž.

Postupně přineseme nějaké statistiky. 

Všem proto doporučujeme sáhnout po některém z bezpečnostních pluginů jako je třeba WordFence.