Durante varias horas en el día de ayer, uno de mis servidores quedó prácticamente inutilizado y no se podía acceder al mismo.
Como tengo instalado el WHM, ingresé a la opción "service status" y el load del server estaba en unos 30, cuando el máximo óptimo es de 4. Ingresé por ssh y puse el comando "top", y el average de 5 minutos de carga era de 25 y permanecía estable en ese número, el cual es realmente alto.
Efectivamente, había algun proceso o grupo de procesos que estaban "atacando" el servidor y ocasionando este comportamiento anormal.
Así que volví al WHM y seleccioné la opción "Apache Status", la cual me muestra las peticiones sobre apache que están corriendo en ese momento. Allí encontré un gran número de peticiones desde dintintas ips de este tipo: "/privmsg.php?folder=http%3A%2F%2Fwww.electrofed.com%2F_app%2Fefc%2Fodoqu%2Fferus%2F&sid=e451754d207825dd8d4bad1e5aa2738b"
Es muy simple, o están tratando de subir algun archivo maligno al servidor, o están tratando de hacer algún injection o pretenden aleatoriamente buscar la forma de incluir su url en mis webs buscando páginas de comentarios o cosas así.
Sea cual sea la cuestión, dificilmente iban a tener éxito en su cometido; pero si me generaban una elevada carga en el servidor (salvo que hayan pretendido dejar offline mis sitios por este medio, pero eso me parece un poco dificil).
Como lo solucioné?
Fui a la configuracion de mod secure y agregué la siguiente regla:
SecRule REQUEST_URI "=(http|https|ftp)"
Esta regla hace que no permita url donde una variable sea igual a una dirección que contenga http, htpps o ftp como inicio.
Esta claro que esta regla puede dar falsos positivos en el caso de que se usen variables así, el mío no es el caso.
Espero que esto le sirva a alguien que tenga este problema y si tienen otra forma de solucionarlo no duden en comentarla, así la analizamos.
Palabras clave: apache, bad bots, mod secure, servidores, spammers