От DDoS никто не застрахован
Позавчера днем от от одного из клиентов поступило обращение с жалобой на то, что его интернет-магазин перестал работать, а веб-сервер выдавал сообщение «500 Internal Server Error». Через полчаса сервер перестал быть доступен и не реагировал на подключения по http, ftp и ssh. После перезагрузки сервера обнаружилось, что закончилось все дисковое пространство, хотя еще неделю назад было свободно несколько гигабайт.
Стоит немного сказать о характеристиках системы, которая обслуживает сайт. Интернет-магазин работает на VPS (виртуальный сервер) со средними параметрами: одно ядро процессора 1ГГц, 1Гб оперативной памяти, 10 Гб дискового пространства. На сервере настроена связка nginx+Apache (nginx отдает статичный контент и проксирует запросы на Apache), установлен eAccelerator, сам интернет-магазин работает на 1С-Битрикс.
Поиски причин, почему закончилось место, привели в папку с логами nginx, которые в совокупности стали занимать 4 Гб. Анализ содержимого логов указал на то, что на сайт ведется DDoS-атака. Характер запросов был Request: "GET / HTTP/1.1" с разных ip-адресов. Интенсивность атаки составляла порядка 15 тысяч запросов в минуту.