Jeg har totalt ombygget min http tarpit efter at et botnet fra singapore skrabede min side så aggressivt at jeg faktisk løb tør for Apache workers (1024!!!)

Det, den gør, er at omdirigere alle 404 fejl til et PHP script som generere en masse links og ellers bare køre der ud af med data indtil dem der har lavet forbindelsen selv indser at det er en konstant strøm af ubrugeligt data. Sidste uge hookede jeg den op til mit Textual dashboard så jeg kan se IP, landkode og ASN på de værste bots.

Det jeg har gjort nu synes jeg selv er elegant. Det PHP script der sender trash data ud tjekker hvor mange aktive Apache workers der er ved at query /server-status?auto. Den tjekker en gang når scriptet starter og igen hvert 30 minut. Derfor, hvis der er rigtig meget legitimt trafik, vil nye forbindelser fra bots blive droppet med det samme i stedet for at side fast, og gamle forbindelser vil langsomt blive droppet for at give plads hvis der virkelig er meget pres på Apache. Hvis alle Apache workers er optaget så den ikke kan hente den data (det er et HTTP GET) så vil scriptet gå ud fra at den grænse på 750 workers er overgået og dropper botten med det samme.

I samme dyr har jeg fuldstændig fjernet den 24 timers maximum der var på tarpit forbindelser, da det nu er selv-regulerende. Så kan de bruge lige så mange ressourcer som de vil, selv når tidevandet af bots er lavt.

Det skal også siges at alle bots der rammer min IP med en HTTP request, men ikke et domæne, bliver scannet på alle porte. Et andet script fyre nogle cURL requests af på de porte der er åbne og gemmer IP:Port for dem der svarer igen med HTTP data. En gang om måneden tjekker jeg hvad der er kommet, og der er sgu nogle sjove ting imellem. Rigtig mange IoT botnets med åbne eller usikre logins. Den her søde kat fra RIPE.net. Usikre ceph metrics. Fil indekser med porno.

Jeg hader bots!!!