como evitar ataques masivos a mi web

hola a todos,

tengo una web en PHP y MySQL sobre un apache a la cual recibo todos los dias ataques (desde diferentes IPs) hasta tal punto que terminan tirando el servidor y mi hosting me ha dicho que van a tener que quitar mi web.

EL problema no es de recursos de mi máquina (en condiciones normales) pero lógicamente llega un momento que al final la maquina no puede más.

Mi hosting ha metido filtros en el apache pero no han conseguido nada.

¿Podría alguien decirme si puedo hacer algo desde PHP para controlar estos ataques y evitarlos? ¿Y algun filtro en el apache?

Muchas gracias por vuestra ayuda

Tema trasladado a Apache.

Solamente puedes arreglar estos ataques desde Apache, cuando el control llega a PHP ya es demasiado tarde para hacer algo.

Saludos.

Buenas.

Desde el propio servidor no puedes evitar esos ataques.
Estos deberían de evitarse unos pasos mas alante (router, firewall...).

De todas formas ? ¿ Que tipo de ataques son ?

hola, yo creo que la mejor forma de explicar los ataques es comentaros la situación de los ultimos meses y despues copiar parte de los emails que he tenido con mi hosting en los ultimos dias tras ellos analizar detenidamente el motivo de tanto consumo de recursos:
(Por cierto, NO TENGO QUEJA DE MI HOSTING pues hasta ahora me ha ido bien).
Tengo un hosting contratado --> compartido pero con unas condiciones especiales en las que como mucho hay 10 alojamientos en el servidor y por el que pago casi como un VPS con 512 Mg de RAM y administrado y me "iba" fenomenal. Hosting en españa.

Ultimos meses: Estos ataques creo que llevan meses produciendose pero de un modo u otro me los han ido aguantando, me decian algo de vez en cuando (optimice su codigo --> lo he hecho 1000 veces, he optimizado las consultas, . . . de forma que los tiempos de respuesta en condiciones normales no superan el 0,2 segundos y más parecido a 0.1 que a 0.2) pero ahora ha llegado la puntilla.

Lo IMPORTANTE
día 1
Hemos detectado que sí que sube la carga del servicio web bastante, lo que podría implicar que si hay 50 o 60 personas en su web online a la vez, puedan provocar la caída del servidor. Esto como supondrá no es normal, porque tanto en este servidor, como en otros similares, hay sitios web (php + mysql) con 15.000 o 20.000 visitas diarias sin sufrir ningún problema.
día 2
Hemos tratado de analizar la web y detectar que estaba sucediendo exactamente pero no hemos sacado nada en claro por el momento, lo que no aseguraría que incluso en un servidor dedicado el problema siguiera presente.
Las posibles causas que barajamos son, la que le indicaba anteriormente (que coincidan muchos usuarios en la web, y saturen los recursos del servidor), un posible ataque hacia sus páginas web (sin demostrar todavía) o algun punto en la programación que provoque la saturación del servidor al ejecutarse.
(tengo otras paginas con exactamente la misma programación y no caen)
día 3
El problema es claramente de apache.
día 4
También estoy revisando sus logs, y por ejemplo este mediodía, observo que ha habido durante un minuto y medio 230 peticiones a páginas de balabla.com por parte de la IP XX.YY.ZZ.RRR. He descartado que fuera un bot, quizás algo similar a esto, pero a mayor escala provoque la caída del servicio.
Si detectara algo más contactaría con usted, y si efectivamente fuera por esto, trataría de establecer unas reglas para intentar parar dichas peticiones masivas.
día 5
Aplican un filtro al apache: La configuración establecida implica que si desde una misma IP se hacen 30 peticiones en menos de 4 segundos automáticamente le deniege el acceso durante 30 segundos. Es un módulo propio del servidor web, no obstante no creo que el problema sean los robots de indexación.
día 6
Ahora mismo le estan atacando desde otra IP distinta, luego le comentamos las conclusiones a las que llegamos.
Hemos observado que desde una IP dinamica de Argentina (no un bot) se han realizado 5985 peticiones a su web blablabla.com en 8 minutos hasta que ha tirado el servidor.
Estamos probando a hacer más restrictiva si cabe la configuración.
Le iremos comentado como va la situacion.
Esperemos que se pueda solucionar estos ataques, seguimos trabajando en ello..
día 7
LA PUNTILLA:
Durante la tarde de ayer nuevamente volvimos a tener problemas en el servidor, otra vez se sufrieron ataques desde otra IP y el servidor se cayó. Como le hemos comentado esta situacion lamentablemente no puede continuar, por ello le hemos preparado un presupuesto para un servidor dedicado. Aunque si le atacan es posible que tambien caiga la maquina, en ese caso habria que mirar si ampliando dicha memoria (de 1 a 2 gigas) conseguimos algo.
Lamentamos esta situacion pero su alojamiento no puede continuar en servicio porque estan siendo afectados por el rendimiento el resto de usuarios.

Mi conclusión: Entiendo a mi hosting pero me gustaría ver que soluciones puede haber pues esto debe pasar a más gente y seguro que han encontrado solución. Pues sino entiendo que más de uno (como yo) tendría que plantearse si cerrar el chiringuito pues los costes se me van al triple y así no compensa en absoluto (como se suele decir: comidos por servidos)

Espero haberme explicado y mil gracias por vuestra ayuda.

El servidor muere por cpu o por memoria ?
Si 50 o 60 personas a la vez tumban tu server, o bien tienes problemas de código (algún bug que cause una denegación de servicion) o bien lo estas corriendo sobre un 486 con 32mb de ram (que supongo no será el caso).
230 peticiones a una pagina, pueden ser normales. ¿ Tienes 230 fotos ? eso son 230 get.
Si las peticiones son al mismo archivo, esto ya es mas sospechoso. ¿ Que archivo es ?
Como ya comenté antes, para bloquear una denegación de servicio, no se debería de realizar en el propio servidor, sino un paso antes, firewall, router... etc.

Hola,
creo que muere por memoria.
NO son 50 o 60 personas a la vez atacando mi web, calculo que concurrentemente (en los mismos 5 segundos por ejemplo) pueden coincidir 5 - 10 usuarios como mucho (incluyendo las visitas de los robots de google y yahoo).
El problema se debe producir cuando desde una IP hacen peticiones seguidas (una detras de otra (y algunas en el mismo segundo) y por los logs lo que he visto es que solo piden el "php" es decir, que no piden imagenes, js, . . . lo que me deja más que claro que no es desde navegador sino por un robot o aplicación que "ataca" a mi web.
NO sé cuanta RAM tendrá el servidor pero no creo que sea poca (calculo 512 o más bien 1 Gb para compartir entre máximo 10 webs. Pero la web que debe fastidiar es la mia).
Los peticiones de estos ataques son siempre a htmls (por debajo lleva un PHP) y no a imagenes, ni archivos de estilos, javascript, . . .
Respecto al filtro que pusieron en el apache les comenté este hecho (que no tuvieran en cuenta los get de imagenes, js,. . . . y me dijeron que NO LO TENIAN EN CUENTA.

Muchas gracias por tu colaboración y hasta pronto.

Puedes copiar por aqui, parte de los logs donde hayas localizado el problema ?

tengo que ver si las trazas de dias anteriores todavía se guardan en el servidor pues creo que se borran diariamente.

Me hize una copia en local pero esta mañana por error los he borrado sin guardar en papelera. En esta traza tenia localizado uno de los ataques porqué me indicaron la IP y por ello lo encontré rapido, sino es imposible pues es un fichero de texto plano con miles de peticiones y localizar la/s IP/s que me atacan es un infierno.

De cualquier modo lo miro esta noche y lo que tenga lo paso, pero basicamente era desde una misma IP montón de petiicones seguidas y solo del php, es decir, no hacia peticiones de las imagenes, js, . . . asociados a ese php.

Gracias de nuevo y esta noche espero poder poner las trazas con el problema

Preciera que en tu archivo de imagenes te han metido codigo malicioso y estan ejecutando algun archivo php relacionado a las imagenes que permite entrar dentro y por ende entran en el servidor de tu hosting y estas causando problemas serios a tu hosting y a ti mismo.
La unica forma de saber que esta pasando es siguiendo le que te ha indicado sysdebian, especialmente en el momento que tienes esa gran cantidad de peticiones, determina el tiempo exacto y observa el log de acceso para ver
si hay algo fuera de lo normal.
Ejemplo: si la peticion es para ver una imagen x, utiliza tu navegador y trata de bajar o ver una imagen, observa despues en los logs del servidor para ver como
luce la peticion; despues compara con las peticiones de los ataques asi podras comprender donde esta el problema.
Mi opinion personal es que te han metido codigo malicioso en tu sitio y lo ejecutan a su antojo desde fuera.
Trata de reinstalar tu sitio y NO permitas que las peticiones sean diferentes de las que tu esperas.
Ejemplo:
Si para ver una imagen xxx.jpg el usuario debe utilizar un archivo php
asi : http://tusitio.com/ver.php?imagen=32547698&otra=111111
asegurate que la variable $imagen no exeda de x cantidad de numeros cuando la peticion ingrese y asi con la variable $otra.
Para esto tienes htmlspecialchars() de php y tambien puedes utilizar strlen() para limitar la cantidad de caracteres a recibir. Finalmente, utiliza pregmatch() para limitar los tipos de archivo a recibir en caso estes aceptando uploads o subidas de archivos a tu sitio.
Saludos
Y espero te ayude
Franco

HOla Franco, no se si será de imagenes, las imagenes estan incrustadas en el propio html, es decir, para mostrarlas no monto ninguna cadena vía php, pues son imagenes fijas.

En algunos casos si son imagenes subidas por los usuarios pero lo unico que hago es sustituir en el codigo html el nombre de la imagen mediante php.

SI voy a hacer lo que me comentais tu y debian, hacer peticicones yo desde un navegador y tratar de ver diferencias respecto a las peticiones que me estan tumbando.

Creo que lo puse en un post, en una ocasión me comentó mi hosting que uno de los ataques (no se si todos) se estaba realizando desde Argentina. COmento esto por si os ayuda a descartar el tema de las imagenes.

Otra cosa que estaba pensando y que imagino ya está más que inventado:
Es crearme una o varias tablas, y guardar yo datos de las IPs, peticiones, . . . en dichas tablas, para despues hacerme mis estadisiticas y tratar de sacar conclusiones y tambien para: tratar de controlar que 5 peticiones en 5 segundos cape dicha IP temporalmente, . . .

De esta forma penalizaré un poco el rendimiento pero por una semana o dos podría mantenerlo para ver que pasa.

Los ataques son casi todos los dias, así que algo podría ver.

Ahora, no tendré tantos problemas de afectar a otors usuarios que compartan maquina pues me han aislado en un servidor hasta ver que hacen conmigo, ¿dedicado?

Saludos y gracias de nuevo por vuestra ayuda

lulavoy:
La verdad es que con las IP no haces nada ya que estos atacantes hasta saben falsear las cabeceras de los paquetes de IP que mandan; es decir que la IP que puede tener registrada tu cortafuegos o tu servidor, NO necesariamente es la IP verdadera.
Hace un tiempo un amigo tenia una galeria de imagenes de esas que se bajan en Internet que son de varios megaBytes y muy bonita. Tuvo un ataque tremendo y poco a poco descubrimos que la galeria tenia un archivo que se llamaba password.php.
Dentro del archivo unicamente preguntaba si issset($variable) etc
Pues lo que el atacante hacia es que ponia algo asi:
http://elsitio.com/password.php?id=(Aqui ponia el codigo malicioso)
que era un http://algunaIPexternayreal/x.txt.
En resumen por NO haber validado la variable $id entrante le estaban haciendo desastres dentro de su sitio que desafian la imaginacion.
En otras palabras el codigo estaba diseñado para NO combatir a estos desgraciados.
En otras palabras si el codigo de password.php hubiera tenido un
$variable = htmlspecialchars($variable);
entonces este sujeto NO hubiera podido hacer nada.
Saludos
Franco

HOla, os dejo parte de los logs por si veis algo:

80.37.144.79 - - [31/Oct/2008:10:38:35 +0100] "GET /blblablabla.html HTTP/1.1" 200 40619 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:35 +0100] "GET /js/funciones.js HTTP/1.1" 200 274 "http://midominioblabla.com/blblablabla.html" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:35 +0100] "GET /imagenes/estilosxx.css HTTP/1.1" 200 2997 "http://midominioblabla.com/blblablabla.html" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:36 +0100] "GET /imagenes/foto.gif HTTP/1.1" 200 673 "http://midominioblabla.com/blblablabla.html" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:39 +0100] "GET /favicon.ico HTTP/1.1" 200 1332 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:39 +0100] "GET /blblablabla.html HTTP/1.1" 200 11680 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:40 +0100] "GET /blblablabla.html HTTP/1.1" 200 11680 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:40 +0100] "GET /blblablabla.html HTTP/1.1" 200 11680 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:40 +0100] "GET /blblablabla.html HTTP/1.1" 200 11680 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:41 +0100] "GET /blblablabla.html HTTP/1.1" 200 11680 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:41 +0100] "GET /blblablabla.html HTTP/1.1" 200 11680 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:41 +0100] "GET /blblablabla.html HTTP/1.1" 200 11680 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:42 +0100] "GET /blblablabla.html HTTP/1.1" 200 11680 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:43 +0100] "GET /imagenes/estilosxx.css HTTP/1.1" 200 2997 "http://midominioblabla.com/blblablabla.html" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:43 +0100] "GET /js/funciones.js HTTP/1.1" 200 274 "http://midominioblabla.com/blblablabla.html" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:43 +0100] "GET /blblablabla.html HTTP/1.1" 200 40621 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:43 +0100] "GET /imagenes/logotipo.gif HTTP/1.1" 200 5496 "http://midominioblabla.com/blblablabla.html" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:43 +0100] "GET /imagenes/pixel.gif HTTP/1.1" 200 807 "http://midominioblabla.com/blblablabla.html" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:45 +0100] "GET /blblablabla.html HTTP/1.1" 200 11680 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:45 +0100] "GET /blblablabla.html HTTP/1.1" 200 11680 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:45 +0100] "GET /blblablabla.html HTTP/1.1" 200 11680 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:45 +0100] "GET /blblablabla.html HTTP/1.1" 200 11680 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:46 +0100] "GET /blblablabla.html HTTP/1.1" 200 11680 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:46 +0100] "GET /blblablabla.html HTTP/1.1" 200 11680 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"
80.37.144.79 - - [31/Oct/2008:10:38:46 +0100] "GET /blblablabla.html HTTP/1.1" 200 11680 "-" "Mozilla/5.0 (X11; U; Linux i686; es-ES; rv:1.9.0.1) Gecko/2008072820 Firefox/3.0.1"

Lo importantes son las llamadas a: blblablabla.html que por debajo lleva un php que hace consultas y pinta el html final.
SI os fijais llega ha hacer hasta 3 o 4 peticiones de blblablabla.html en el mismo segundo.
Esto es un extracto de las trazas pero estuvo así desde las: 31/Oct/2008:10:38:35 hasta las 31/Oct/2008:13:35:03

Parando en ocasiones durante 5 minutos, despues una hora, pero siempre fiel a darme la lata.

Saludos y gracias.

Vaya, la ip es de Telefonnica :)
De todas formas, no veo que haga nada raro. Simplemente un GET del index.
Busca a ver si hace POST en algún momento.
Y también busca de donde vino, con un poco de suerte, la primera entrada de esa ip es una busqueda de google o un foro o algo por el estilo.
Si el servidor se cae de esta forma, es que tienes algún problema en la programación de tu aplicacion. Este mismo caso se podría dar si tu vieras Xs visitas concurrentes de diferentes usuarios.

Y si a las trazas anteriores las multiplicamos por 2, es decir, el doble de peticiones de las que hay ahí, ¿tambien sospechas que será por algo de programación? Lo comento porqué quité unas pocas peticiones que venian de usuarios normales o de google.

Este finde revisaré el código basandome en:

http://www.syntaxerror.es/2007/12/03/60-optimizaciones-para-tus-programas-php/

¿Quizás sería bueno que pusiera un POST en la parte de PHP con parte de mi código para ver si alguien ve algo extraño?

¿alguna web donde pueda ver buenas optimizaciones en php?

Saludos y gracias

120 conexiones concurrentes que tumben tu aplicacion me sigue pareciendo problema de la aplicacion.
Si no ves que el usuario haga algo mas que pedir la pagina principal, deberías de repasar tu codigo.
Lo de los POST, te decia que buscases por si hicieron alguno, esas ips de las que sospechas.

creo que no hay POST pero lo revisaré así como el código pues tal como me dices parece que quizás este ahí el problema.

ALguna recomendación (página web) de buenas prácticas en php?

hola de nuevo,
ayer por casualidad encontré en internet que mencionaban que el httacces de apache puede ser pesado de procesar, . . .: Más exactamente algo como:
Yo tendria cuidado con 2 cositas.

1) El rendimiento del servidor web apache. Cada linea que le metes al .htaccess hace que apache ocupe mas tiempo en atender esa peticion, en webs com mucho trafico esto puede afectar considerablemente al rendimiento. Siempre y cuando sea posible es mejor hacer el redireccionamiento a nivel DNS

2) Error 404 - Es casi mejor dejar que el modulo de errores de apache se encargue de resolver las url’s erroneas que para cada peticion hacer que el apache tenga que tomar decisiones.

si no recuerdo mal el tener un htaccess con cientos de líneas puede resentir el rendimiento.

En uno de los últimos test’s que he leído, un servidor puede enviar hasta 5 veces más peticiones si prescinde de mod_rewrite, en resumidas cuentas: no creo que el tener el htaccess con 200 RewriteCond sea buena idea.

Por desgracia yo hago un uso indiscriminado de este fichero, con el mod_rewrite = on y entre unas coas y otras 15000 lineas.

¿puede ser este el problema? De momento me he puesto a modificar la movida para despues hacer pruebas y ver que pasa.

PD: Si estoy en lo cierto, me podeis llamar bruto

tienes 15000 lineas dentro de un .htaccess ?
El uso del .htaccess penaliza el rendimiento, ya que cada vez que alguien entra a tu web, el servidor se tiene que parar a buscar si existe ese archivo, y si existe, procesarlo.
15000 lineas ?
supongo que habras escrito mal el numero...

desgraciadamente no lo he escrito mal:

15000 - quince mil

Lo acabo de cambiar para ver si influye

Por eso decia aquello de que me podiais decir: bruto.

Es lo que tiene esto de ser novato. Cuando leí que penalizaba el htacces . . . por internet caí en la cuenta de cual (quizás podia ser mi problema).

así, ¿puede ser este mi problema? YO creo que sí, pero me gustaría la opinión vuestra

yo también lo creo.
Tampoco entiendo como te salen 15k lineas....
Es por configuración de apache o por temas de rewrite ? Supongo que será esto último. Usas wildcard ?

era por el rewrite.

No lo monté como dios manda y para cada posible URL tenía una linea.

¿que es eso de wildcard?

saludos y gracias

Por ejemplo, en vez de poner ,web1, web2, web3, web4.. .etc, podrías poner algo así como web? o web*, busca información sobre rewrite y sus wildcards.

Ah, OK.

eso es lo que he hecho y lo he reducido a 15 lineas. No sabia que eso se llamara wildcard

Muchas gracias.

Pues parece que el problema era el httaccess pues el consumo de CPU y memoria los he bajado de más del 15% al 1% y han dejado de quejarse los de mi hosting )

Muchas gracias a todos.

Saludos