Blog

2 febrero, 2016

Como bloquear trafico no deseado

fail2ban-flat-logoHace unas semanas contacto con nosotros una empresa dedicada a hosting que tenía problemas de tráfico no deseado en sus servidores, todo este tráfico generaba una carga muy alta en la memoria ram y la cpu de uno de sus servidores.

Este servidor tenía sobre todo web desarrolladas en wordpress (y quién no?) y contaba con la ayuda de ModSecurity y Fail2ban para protegerse.

Una vez puestos manos a la obra vimos que gran parte del trafico pertenecía a Badbots intentado romper los wordpress usando diferentes formas (SQli, XSS, etc…).

ModsecurityRevisando las configuraciones de seguridad de Modsecurity (Fail2ban estaba bien configurado) vimos que además de estar solo en modo detección también tenían un buen lio con las reglas de filtrado, el admin nos dijo que fallaban mucho los wordpress y por eso lo tenía en detección.

Así que lo que hicimos fue activar Modsecurity y utilizar el conjunto de reglas OWASP ModSecurity, desactivando una serie de ellas para que no bloquearan los wordpress, estas son las etiquetas de estas reglas:

OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER_HOST
OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER_UA
OWASP_CRS/PROTOCOL_VIOLATION/MISSING_HEADER_ACCEPT
OWASP_CRS/WEB_ATTACK/COMMAND_INJECTION
OWASP_CRS/WEB_ATTACK/SQL_INJECTION
OWASP_CRS/WEB_ATTACK/XSS
OWASP_CRS/WEB_ATTACK/RFI
AUTOMATION/MALICIOUS
WASCTC/WASC-13
WASCTC/WASC-19

De esta forma el resto de filtros bloquearon los badbots y mandaron sus ip a fail2ban para que este se encargue de mantenerlos bloqueados.

Con esta medida bajo un 80% todo el tráfico no deseado liberando así la carga del servidor afectado.

Solo queda destacar la importancia de tener un sistema protegido con Fail2ban y ModSecurity.

 

IT, Sistemas
About Grupogiva

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Uso de cookies

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continúa navegando está dando su consentimiento para la aceptación de las mencionadas cookies y la aceptación de nuestra política de cookies, pinche el enlace para mayor información.plugin cookies

ACEPTAR
Aviso de cookies