<div dir="auto"><div>Add a rule to send problem IP to a different internal port that has a VERY slow page load that is a redirect notice to DHS.</div><div><br></div><div data-smartmail="gmail_signature"><div dir="ltr">-- <br>James P. Kinney III<br><i><i><i><i><br></i></i></i></i>Every time you stop a school, you will have to build a jail. What you 
        gain at one end you lose at the other. It's like feeding a dog on his 
        own tail. It won't fatten the dog.<br>

        - Speech 11/23/1900 Mark Twain<br><i><i><i><i><br><a href="http://heretothereideas.blogspot.com/" target="_blank">http://heretothereideas.blogspot.com/</a><br></i></i></i></i></div></div></div><br><div class="gmail_quote gmail_quote_container"><div dir="ltr" class="gmail_attr">On Thu, May 29, 2025, 8:03 PM DJPfulio--- via Ale <<a href="mailto:ale@ale.org">ale@ale.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">If the Twiki is just for you, just allow localhost and use an ssh SOCKS proxy to access it, just like we all do for DBMS server management. Just put ssh on a high port or only allow your static IP from home access into it, assuming you have a static IP at home, of course.<br>
<br>
I'm pretty ruthless about bots and about 150 user-agents or any user-agent that claims to be an old version of any browser or referrers that try to directly access content remotely using an iframe.<br>
<br>
Often, it is easier to just throttle requests from a single IP. Nginx makes it easy.<br>
<a href="https://nginx.org/en/docs/http/ngx_http_limit_req_module.html" rel="noreferrer noreferrer" target="_blank">https://nginx.org/en/docs/http/ngx_http_limit_req_module.html</a>  That's a failsafe for any "bad requests" that don't get blocked before this point.<br>
<br>
I hate the idea of needing to block access, but there are practicalities that cannot be ignored, especially with all the abuse these days.<br>
<br>
<br>
On 5/29/25 18:31, lollipopman691 via Ale wrote:<br>
> I run a small TWiki server which is in robots.txt on an aws instance.<br>
> Recently that VM started to become unstable.  Today I logged on and<br>
> found that the disk was completely full up. It normally runs about<br>
> 85% full. After poking around a bit I found that the TWiki access<br>
> logs for the last few days were multiple gigabytes in size. Further,<br>
> someone or something was requesting a single page on my TWiki over<br>
> and over at a prodigious rate.  I use that instance as a forwarding<br>
> email server, so it's critical that it stays on line. So I took the<br>
> simplest course and shut httpd off, removing all my web content from<br>
> view for now, including a bunch of recipes I use weekly. Dang it.<br>
> <br>
> I grabbed today's log file and did some simple shell scripting on it<br>
> to try to figure out what was going on.  It looks like the requests<br>
> are coming at over 200 times a minute from a variety of addresses in<br>
> the far east, at least according to <a href="https://www.iplocation.net/" rel="noreferrer noreferrer" target="_blank">https://www.iplocation.net/</a> .<br>
> <br>
> My last TWiki log has requests from about 70,000 ip addresses for<br>
> that one TWiki page. About 90% of them are hitting the page only<br>
> once. Most of the rest are hitting it twice. A handful are over 100,<br>
> with the largest at around 700.  I nmap(1) ed a couple of them for<br>
> fun. The one which appeared to be up ( 47.239.152.3 ) showed:<br>
> <br>
> PORT     STATE  SERVICE 80/tcp   closed http 443/tcp  closed https <br>
> 3389/tcp closed ms-wbt-server<br>
> <br>
> Mildly interesting.  The Net of 10,000 lies claims that<br>
> "ms-wbt-server" is a Microsoft remote desktop server, so at a guess<br>
> I'd say this was a compromised Windows machine.<br>
> <br>
> Has anyone seen this kind of thing before?  I currently plan to leave<br>
> httpd down for a few days and then restart it and see if this trouble<br>
> has gone away. I reckon the long-term solution is to move my mail<br>
> server off the web machine and then just let it do its thing?<br>
> <br>
> -- CHS<br>
_______________________________________________<br>
Ale mailing list<br>
<a href="mailto:Ale@ale.org" target="_blank" rel="noreferrer">Ale@ale.org</a><br>
<a href="https://mail.ale.org/mailman/listinfo/ale" rel="noreferrer noreferrer" target="_blank">https://mail.ale.org/mailman/listinfo/ale</a><br>
See JOBS, ANNOUNCE and SCHOOLS lists at<br>
<a href="http://mail.ale.org/mailman/listinfo" rel="noreferrer noreferrer" target="_blank">http://mail.ale.org/mailman/listinfo</a><br>
</blockquote></div>