Due casi reali di siti lenti perché sotto attacco e come li abbiamo sistemati.
Il tuo sito è improvvisamente diventato lento? I motivi possono essere vari, sia positivi (si, hai capito bene) che negativi.
I motivi positivi sono ad esempio un articolo che attira molta attenzione, una promozione in corso che scatena più interesse di quanto ti aspetti. Questo significa che le tue attività online stanno facendo crescere il sito ed è ora di valutare l’upgrade del tuo hosting a qualcosa di più performante.
I motivi negativi sono, purtroppo, meno entusiasmanti. Tra i principali troviamo:
- un hosting condiviso economico mal gestito che inizia ad essere sovraccarico
- un bot che ha lanciato un attacco contro il sito, saturando la banda o la CPU (ovvero la potenza) a disposizione del tuo sito.
In questo articolo ci focalizziamo sul sito sotto attacco, analizzando due casi reali che abbiamo risolto.
Caso numero 1
Tipologia sito: ecommerce.
Problematica riscontrata: notifica da parte dell’hosting del superamento delle risorse a disposizione.
Analisi del problema:
- Come prima cosa abbiamo verificato l’effettivo consumo delle risorse tramite le statistiche del cPanel.
- Verificata l’esistenza del problema, abbiamo analizzato le visite utilizzando Google Analytics, strumento di analisi e monitoraggio che usiamo sempre. L’analisi non ha rilevato picchi di traffico, quindi erano rimaste due opzioni da verificare:
- qualche modifica al codice che può aver causato un consumo eccessivo delle risorse;
- oppure un attacco al sito.
- Scartata la possibilità di un errore del codice, essendo il sito gestito da noi e non avendo effettuato modifiche nei giorni precedenti, abbiamo analizzato i log di sistema, trovando un IP che effettuava migliaia di richieste alla homepage e a una pagina di assistenza. Data la mole di richieste per secondo, e la richiesta di sole due pagine, è risultato evidente che il traffico in oggetto fosse di origine malevola
Soluzione del problema: trovata la sorgente del traffico malevolo, abbiamo bloccato l’IP e il consumo delle risorse è tornato immediatamente nella norma.
Come evitare il problema in futuro: stranamente l’hosting non aveva regole a livello di firewall per limitare questo tipo di traffico. Si può ovviare al problema in futuro ad esempio impostando e configurando una CDN con delle opzioni per limitare le richieste.
Caso numero 2
Tipologia sito: scuola e teatro con vendita online.
Problematica riscontrata: rallentamento generalizzato del sito, soprattutto la parte backend.
Analisi del problema:
- Le attività del cliente erano sospese causa Coronavirus, quindi un aumento del traffico era improbabile.
- Abbiamo verificato l’effettivo consumo delle risorse tramite le statistiche del cPanel, e abbiamo rilevato un forte aumento di traffico da un solo IP.
- Questo IP da solo generava più traffico di quello che storicamente faceva l’intera azienda quando erano operativi in sede. Tracciata la sorgente dell’IP, risultava in Ucraina, totalmente al di fuori della zona coperta dal business del cliente, ovvero l’area di Milano.
- Analizzati i log degli accessi, abbiamo riscontrato come questo IP generasse una mole di richieste alla pagina di login: un evidente attacco al sito. Nonostante il lockout automatico per i troppi login errati e la risposta 403 automatica, il traffico arrivava comunque al sito, consumandone le risorse (è pur sempre un hosting condiviso).
Soluzione del problema: trovata la sorgente del traffico malevolo, abbiamo bloccato l’IP offendente direttamente dal cPanel e il consumo delle risorse è tornato immediatamente nella norma.
Come evitare il problema in futuro: anche in questo caso stranamente l’hosting non aveva regole a livello di firewall per limitare questo tipo di traffico. Si può ovviare al problema in futuro ad esempio impostando e configurando una CDN con delle opzioni per limitare le richieste.