Форум русской поддержки Joomla!® CMS
06.12.2016, 07:01:50 *
Добро пожаловать, Гость. Пожалуйста, войдите или зарегистрируйтесь.
Вам не пришло письмо с кодом активации?

Войти
   
   Начало   Поиск Joomla 3.0 FAQ Joomla 2.5 FAQ Joomla 1.5 FAQ Правила форума Новости Joomla Реклама Войти Регистрация Помощь  
Страниц: [1]   Вниз
  Добавить закладку  |  Печать  
Автор

Продолжительная DDoS атака. Шел 16-й день DDoS атаки. Мы отбивались, как могли

 (Прочитано 450 раз)
0 Пользователей и 1 Гость смотрят эту тему.
natalyaegorova
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 19


« : 26.08.2016, 21:46:39 »

Всем добрый день/вечер/ночь/утро

Сложилась очень неприятная ситуация: сайт подвергается атаке уже третью неделю.
18-го августа пришло письмо от техподдержки, что сайт создает чрезмерную нагрузку на сервер и его скоро отключат… либо переходите на более дорогой тарифный план.

Как показал график нагрузки на сервер, атака началась еще 11-го числа (надеюсь это никак не связано, но именно 11-го была подключена услуга от хостинга «Ускоритель сайтов»). Так как за 6 лет работы сайта такой ситуации не было, потеряли больше недели самостоятельно, разбираясь, в чем дело.

На все вопросы о причине нагрузки на сервер, техподдержка просто отписывалась фразами «Проведите аудит кода», «Проведите оптимизацию и отладку в рамках среды разработки», «Проведите анализ производительности сайта с помощью средств CMS» и т.д.

В итоге, посмотрев файл access_log поняли, что сайт уже несколько дней подвергается DDoS-атакам. IP адресов, которые долбятся на сайт, очень много, в файле более 60 тысяч строк, и блокировать их всех с помощью .htaccess нереально!

Пишу об этом в техподдержку и получаю ответ: «Если блокировка IP средствами файла .htaccess не представляется возможной, то для защиты своих проектов Вам необходимо обратиться к сторонним профильным организациям, например CloudFlare. С нашей стороны не предоставляется защиты от DDoS атак.»

Ну ок, чё! 24-го августа регистрирую сайт на CloudFlare, включаю режим «Сайт под атакой». 25-го нагрузка на сервер снижается, но! Стоит только выключить режим работы «Сайт под атакой» как нагрузка опять ползет вверх. И видно, что долбят… Германия, Франция, Россия, Украина и еще овердофига всех!

На все вопросы к хостеру, что еще можно сделать, получаю один и тот же ответ «Проведите аудит кода», «Проведите оптимизацию…» и т.д… либо «примите решение об адекватной смене условий размещения».

Перечитала практически весь форум на эту тему. Проверила сайт на вирусы. Проверила файлы на вредоносный код, ничего, что было на форуме описано, не нашла, но я тот еще спец. Посмотрев файл с логами, обнаружила, что несколько ip-шников постоянно долбятся то ли в админку, то ли на регистрацию (хотя формы регистрации на сайте нет).

Отсюда вопросы:
Как долго может продолжаться DDoS атака?
Что можно сделать, что бы атака прекратилась?
Как еще можно защитить сайт?

Может, у кого была подобная ситуация, поделитесь опытом борьбы!

Пы.сы: Сайт работает, но посещаемость падает Sad. Я так понимаю, Яндекс такое «не любит».
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1451


« Ответ #1 : 26.08.2016, 22:28:21 »

Цитировать
Как долго может продолжаться DDoS атака?
До тех пор, пока у её заказчика не закончатся деньги на её организацию.

Цитировать
Что можно сделать, что бы атака прекратилась?
Существует много техник, самая простая -- проверка по кукам и JavaScript: боты начального уровня не умеют ни куки писать, ни читать JavaScript -- банить айпишники, которые попадают под фильтры. В рамках виртуального хостинга и без специализированной помощи этого достичь невозможно. Возможно, анти-ддос сервисы будут для Вас лучшим решением.

А что у Вас за сайт, если не секрет?
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #2 : 26.08.2016, 22:30:26 »

Смените хостера на того, кто предоставит вам защиту от ddos. Возьмите платный аккаунт cloudflare (хотя с продвинутой ддос защитой это дорого).
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1451


« Ответ #3 : 26.08.2016, 22:33:11 »

Смените хостера на того, кто предоставит вам защиту от ddos. Возьмите платный аккаунт cloudflare (хотя с продвинутой ддос защитой это дорого).
А ещё неплохо бы заявление в полицию написать.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #4 : 26.08.2016, 22:39:23 »

а что в логах пишется? какие запросы? какой хостинг? у вас просто аккаунт или VDS? также имеет смысл глянуть error_log? Какие то программные работы или обновления перед этим проводились?
Записан
natalyaegorova
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 19


« Ответ #5 : 26.08.2016, 22:44:46 »

А что у Вас за сайт, если не секрет?
Не секрет http://electromontaj-st.ru
Сайт простенький, таких уж позиций, что б нас валить, вроде, пока не достигли Azn Вообще не понятно кому мы так нужны.
Записан
natalyaegorova
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 19


« Ответ #6 : 26.08.2016, 22:53:25 »

а что в логах пишется? какие запросы? какой хостинг? у вас просто аккаунт или VDS?

В логах запросы на авторизацию и таких несколько тысяч за месяц
"2016-08-22T11:48:41+00:00   INFO 217.79.62.98 joomlafailure Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте"

Обычный хостинг на Таймвебе, без VDS

Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2652


step by step


« Ответ #7 : 26.08.2016, 23:00:09 »

Цитировать
что несколько ip-шников постоянно долбятся то ли в админку, то ли на регистрацию (хотя формы регистрации на сайте нет).
Закрыть папку /administrator http-basic авторизацией, Отключить регистрацию в админке Joomla.
Поищите в разделе Безопасность тему про ДДОС, в которой выложили скрипт index.php с защитой от ДДОС
Записан
natalyaegorova
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 19


« Ответ #8 : 26.08.2016, 23:02:09 »

В файле  error_log запросы по всем картинкамна сайте типа этого
[Fri Aug 26 06:27:45 2016] [error] [client 92.53.96.13] File does not exist: /home/x/xxxxxxxx/electromontaj-st/public_html/templates/dd_engineer_47/images/footerrssicon.png, referer:

Подключила услугу от хостинга "Ускорение сайтов" и тестировала JotCache на сайте
Записан
natalyaegorova
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 19


« Ответ #9 : 26.08.2016, 23:04:23 »

Закрыть папку /administrator http-basic авторизацией, Отключить регистрацию в админке Joomla.
Поищите в разделе Безопасность тему про ДДОС, в которой выложили скрипт index.php с защитой от ДДОС

Авторизация отключена, тему поищу
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #10 : 26.08.2016, 23:12:15 »

да уж.... по одной строчке из логов много что даст для понимания проблемы....
Записан
natalyaegorova
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 19


« Ответ #11 : 26.08.2016, 23:25:48 »

да уж.... по одной строчке из логов много что даст для понимания проблемы....

Сколько надо? Если из error_log, то там их 1,5 тысячи и все однопитпные, ведут к картинкам. Если из logs_error то их там 186 тысч.
Я выложу, если это поможет. Главное, что б места хватило Azn
Записан
draff
Практически профи
*******

Репутация: +161/-5
Offline Offline

Пол: Мужской
Сообщений: 2652


step by step


« Ответ #12 : 26.08.2016, 23:36:57 »

А если закрыть доступ к папке /images ? Яндекс переживет ?
http://joomlaforum.ru/index.php/topic,210027.0.html
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1451


« Ответ #13 : 26.08.2016, 23:38:42 »

А если закрыть доступ к папке /images ? Яндекс переживет ?
Можно сделать реврайт в .htaccess или в конфиге NGINX. Нечисть блокировать, порядочных пользователей пропускать.
Записан
natalyaegorova
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 19


« Ответ #14 : 27.08.2016, 00:05:45 »

Цитировать
А если закрыть доступ к папке /images ? Яндекс переживет ?

Очень не хотелось бы, 90% фоток на сайте оригинальные, да и фотогалерея достаточно большая. Из поиска по картинкам пропадем Sad

Цитировать
Можно сделать реврайт в .htaccess или в конфиге NGINX. Нечисть блокировать, порядочных пользователей пропускать.

Если можно поподробней, или в тему ткните, пжл.

Цитировать
Закрыть папку /administrator http-basic авторизацией

На хостинге есть такая функция, можно на папку пароль поставить. Но, я так поняла, паролем к папке будет пароль к админке на хостинге.

Цитировать
А ещё неплохо бы заявление в полицию написать.

Уже практически готова хоть президенту писать, только на кого? На хостинг? На злоумышленников? Так никто "выкуп" не просит...
Записан
Филипп Сорокин
Живу я здесь
******

Репутация: +120/-3
Offline Offline

Пол: Мужской
Сообщений: 1451


« Ответ #15 : 27.08.2016, 00:08:52 »

Цитировать
Если можно поподробней, или в тему ткните, пжл.
Нет такой темы: надо составлять правила согласно логам -- проверяйте User Agent, посылаемые заголовки и блокируйте супостатов!

Цитировать
Уже практически готова хоть президенту писать, только на кого?
По-моему, в полиции есть специальный отдел, который занимается преступлениями в области IT. Не могу Вам подсказать, может Google поможет?
Записан
AlekVolsk
Профи
********

Репутация: +316/-3
Offline Offline

Пол: Мужской
Сообщений: 6456



« Ответ #16 : 27.08.2016, 00:20:14 »

Обычный хостинг на Таймвебе, без VDS
Вы попали чисто конкретно: был доказанный случай, когда организацией ддоса являлся сам таймвеб, прямо-таки навязывая более дорогой тариф, это их нормальная практика, однозначно меняйте хостера, по другому вы от этого не избавитесь, еще и уйти от них будет проблематично...
Записан
natalyaegorova
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 19


« Ответ #17 : 27.08.2016, 00:34:57 »

Цитировать
Вы попали чисто конкретно: был доказанный случай, когда организацией ддоса являлся сам таймвеб, прямо-таки навязывая более дорогой тариф, это их нормальная практика, однозначно меняйте хостера, по другому вы от этого не избавитесь, еще и уйти от них будет проблематично...

Была такая мысль, что "это жжжжж не спроста"... Видимо так и есть. Какой нормальный человек будет бомбить чужой сайт просто так...
Записан
SmokerMan
Профи
********

Репутация: +694/-25
Offline Offline

Пол: Мужской
Сообщений: 5225



« Ответ #18 : 27.08.2016, 02:59:26 »

Вы попали чисто конкретно: был доказанный случай, когда организацией ддоса являлся сам таймвеб, прямо-таки навязывая более дорогой тариф, это их нормальная практика, однозначно меняйте хостера, по другому вы от этого не избавитесь, еще и уйти от них будет проблематично...
да чушь это полная
может быть имело место просто доса, естественно он превысит нагрузки, и из-за этого его отключают
Записан
wishlight
Профи
********

Репутация: +200/-1
Offline Offline

Пол: Мужской
Сообщений: 3487


skype aqaus.com


« Ответ #19 : 27.08.2016, 08:59:22 »

Таймвеб? Ну я помню как сайт в разработке на голой Joomla закрытый по IP стал давать нагрузку как хороший портал. Выводы сделал.
Записан
natalyaegorova
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 19


« Ответ #20 : 27.08.2016, 10:27:26 »

Ну, в принципе, все понятно.
Всем большое спасибо за ответы, ушла искать хостинг.
Записан
AlekVolsk
Профи
********

Репутация: +316/-3
Offline Offline

Пол: Мужской
Сообщений: 6456



« Ответ #21 : 27.08.2016, 14:05:53 »

позволю порекомендовать vastvps либо beget, поинтересуйтесь в поддержке, какие именно тарифы с анти-ддосом, не на всех тарифах опция доступна
не рекомендую рег.ру и никхост (это по сути одна контора) по причине жутко устаревшего железа
Записан
Taatshi
Support Team
*****

Репутация: +430/-3
Offline Offline

Пол: Женский
Сообщений: 4717

Мама, я снова верстал во сне...


« Ответ #22 : 27.08.2016, 15:34:48 »

Да нет там никакого Ддоса. Чистите сайт от вирусов. Три недели)))) У Вас мания величия)
Записан
natalyaegorova
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 19


« Ответ #23 : 27.08.2016, 16:48:36 »

Цитировать
позволю порекомендовать
Спасибо, приму к сведению.

Цитировать
Да нет там никакого Ддоса. Чистите сайт от вирусов. Три недели)))) У Вас мания величия)

А то! Мы такие Wink Вот скрин статистики



Сегодня с утра поменяли тариф на более дорогой и нагрузка на сервер снизилась до обычного состояния. Совпадение? Не думаю...
А сайт на вирусы и вредоносный код я проверяла (в.ч. и Айболитом)
Записан
natalyaegorova
Захожу иногда
**

Репутация: +0/-0
Offline Offline

Сообщений: 19


« Ответ #24 : 05.09.2016, 13:48:41 »

РЕШЕНО: Поменяли хостера и проблема отвалилась сама собой.
Записан
winstrool
Завсегдатай
*****

Репутация: +39/-2
Offline Offline

Пол: Мужской
Сообщений: 725


Свободен для работы


« Ответ #25 : 05.09.2016, 16:44:49 »

Обычный хостинг на Таймвебе, без VDS

Пора бы уже какой нить лестный отзыв о хостинге timeweb.com написать, что timweb не честен со своими клиентами и принуждает повышать на более дорогие тарифы, блокируя аккаунт и аргументируя это ДДОС'ом...
Записан
beliyadm
Профи
********

Репутация: +1566/-61
Offline Offline

Пол: Мужской
Сообщений: 8110


Севастополь == Россия


« Ответ #26 : 05.09.2016, 17:08:15 »

а что там писать-то? timeweb редкостное дерьмо еще лет 7 назад про это все знали, теперь же занялись ддосом свом же клиентов, позорище
Записан
Arkadiy
Группа развития
*****

Репутация: +431/-0
Offline Offline

Пол: Мужской
Сообщений: 5314


Крепитесь, други.


« Ответ #27 : 05.09.2016, 17:59:07 »

Сижу на timeweb, когда ддосят, устанавливаю admintools где еще не установил. Никаких проблем.
Записан
Страниц: [1]   Вверх
  Добавить закладку  |  Печать  
 
Перейти в:  

Powered by SMF 1.1.21 | SMF © 2006, Simple Machines

Joomlaforum.ru is not affiliated with or endorsed by the Joomla! Project or Open Source Matters.
The Joomla! name and logo is used under a limited license granted by Open Source Matters
the trademark holder in the United States and other countries.

LiveInternet