0 Пользователей и 1 Гость просматривают эту тему.
  • 28 Ответов
  • 5661 Просмотров
*

natalyaegorova

  • Осваиваюсь на форуме
  • 34
  • 0 / 0
Всем добрый день/вечер/ночь/утро

Сложилась очень неприятная ситуация: сайт подвергается атаке уже третью неделю.
18-го августа пришло письмо от техподдержки, что сайт создает чрезмерную нагрузку на сервер и его скоро отключат… либо переходите на более дорогой тарифный план.

Как показал график нагрузки на сервер, атака началась еще 11-го числа (надеюсь это никак не связано, но именно 11-го была подключена услуга от хостинга «Ускоритель сайтов»). Так как за 6 лет работы сайта такой ситуации не было, потеряли больше недели самостоятельно, разбираясь, в чем дело.

На все вопросы о причине нагрузки на сервер, техподдержка просто отписывалась фразами «Проведите аудит кода», «Проведите оптимизацию и отладку в рамках среды разработки», «Проведите анализ производительности сайта с помощью средств CMS» и т.д.

В итоге, посмотрев файл access_log поняли, что сайт уже несколько дней подвергается DDoS-атакам. IP адресов, которые долбятся на сайт, очень много, в файле более 60 тысяч строк, и блокировать их всех с помощью .htaccess нереально!

Пишу об этом в техподдержку и получаю ответ: «Если блокировка IP средствами файла .htaccess не представляется возможной, то для защиты своих проектов Вам необходимо обратиться к сторонним профильным организациям, например CloudFlare. С нашей стороны не предоставляется защиты от DDoS атак.»

Ну ок, чё! 24-го августа регистрирую сайт на CloudFlare, включаю режим «Сайт под атакой». 25-го нагрузка на сервер снижается, но! Стоит только выключить режим работы «Сайт под атакой» как нагрузка опять ползет вверх. И видно, что долбят… Германия, Франция, Россия, Украина и еще овердофига всех!

На все вопросы к хостеру, что еще можно сделать, получаю один и тот же ответ «Проведите аудит кода», «Проведите оптимизацию…» и т.д… либо «примите решение об адекватной смене условий размещения».

Перечитала практически весь форум на эту тему. Проверила сайт на вирусы. Проверила файлы на вредоносный код, ничего, что было на форуме описано, не нашла, но я тот еще спец. Посмотрев файл с логами, обнаружила, что несколько ip-шников постоянно долбятся то ли в админку, то ли на регистрацию (хотя формы регистрации на сайте нет).

Отсюда вопросы:
Как долго может продолжаться DDoS атака?
Что можно сделать, что бы атака прекратилась?
Как еще можно защитить сайт?

Может, у кого была подобная ситуация, поделитесь опытом борьбы!

Пы.сы: Сайт работает, но посещаемость падает :(. Я так понимаю, Яндекс такое «не любит».
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Цитировать
Как долго может продолжаться DDoS атака?
До тех пор, пока у её заказчика не закончатся деньги на её организацию.

Цитировать
Что можно сделать, что бы атака прекратилась?
Существует много техник, самая простая -- проверка по кукам и JavaScript: боты начального уровня не умеют ни куки писать, ни читать JavaScript -- банить айпишники, которые попадают под фильтры. В рамках виртуального хостинга и без специализированной помощи этого достичь невозможно. Возможно, анти-ддос сервисы будут для Вас лучшим решением.

А что у Вас за сайт, если не секрет?
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Смените хостера на того, кто предоставит вам защиту от ddos. Возьмите платный аккаунт cloudflare (хотя с продвинутой ддос защитой это дорого).
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Смените хостера на того, кто предоставит вам защиту от ddos. Возьмите платный аккаунт cloudflare (хотя с продвинутой ддос защитой это дорого).
А ещё неплохо бы заявление в полицию написать.
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
а что в логах пишется? какие запросы? какой хостинг? у вас просто аккаунт или VDS? также имеет смысл глянуть error_log? Какие то программные работы или обновления перед этим проводились?
*

natalyaegorova

  • Осваиваюсь на форуме
  • 34
  • 0 / 0
А что у Вас за сайт, если не секрет?
Не секрет http://electromontaj-st.ru
Сайт простенький, таких уж позиций, что б нас валить, вроде, пока не достигли :) Вообще не понятно кому мы так нужны.
*

natalyaegorova

  • Осваиваюсь на форуме
  • 34
  • 0 / 0
а что в логах пишется? какие запросы? какой хостинг? у вас просто аккаунт или VDS?

В логах запросы на авторизацию и таких несколько тысяч за месяц
"2016-08-22T11:48:41+00:00   INFO 217.79.62.98 joomlafailure Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте"

Обычный хостинг на Таймвебе, без VDS

*

draff

  • Гуру
  • 5803
  • 434 / 7
  • ищу работу
Цитировать
что несколько ip-шников постоянно долбятся то ли в админку, то ли на регистрацию (хотя формы регистрации на сайте нет).
Закрыть папку /administrator http-basic авторизацией, Отключить регистрацию в админке Joomla.
Поищите в разделе Безопасность тему про ДДОС, в которой выложили скрипт index.php с защитой от ДДОС
*

natalyaegorova

  • Осваиваюсь на форуме
  • 34
  • 0 / 0
В файле  error_log запросы по всем картинкамна сайте типа этого
[Fri Aug 26 06:27:45 2016] [error] [client 92.53.96.13] File does not exist: /home/x/xxxxxxxx/electromontaj-st/public_html/templates/dd_engineer_47/images/footerrssicon.png, referer:

Подключила услугу от хостинга "Ускорение сайтов" и тестировала JotCache на сайте
*

natalyaegorova

  • Осваиваюсь на форуме
  • 34
  • 0 / 0
Закрыть папку /administrator http-basic авторизацией, Отключить регистрацию в админке Joomla.
Поищите в разделе Безопасность тему про ДДОС, в которой выложили скрипт index.php с защитой от ДДОС

Авторизация отключена, тему поищу
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
да уж.... по одной строчке из логов много что даст для понимания проблемы....
*

natalyaegorova

  • Осваиваюсь на форуме
  • 34
  • 0 / 0
да уж.... по одной строчке из логов много что даст для понимания проблемы....

Сколько надо? Если из error_log, то там их 1,5 тысячи и все однопитпные, ведут к картинкам. Если из logs_error то их там 186 тысч.
Я выложу, если это поможет. Главное, что б места хватило :)
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
А если закрыть доступ к папке /images ? Яндекс переживет ?
Можно сделать реврайт в .htaccess или в конфиге NGINX. Нечисть блокировать, порядочных пользователей пропускать.
*

natalyaegorova

  • Осваиваюсь на форуме
  • 34
  • 0 / 0
Цитировать
А если закрыть доступ к папке /images ? Яндекс переживет ?

Очень не хотелось бы, 90% фоток на сайте оригинальные, да и фотогалерея достаточно большая. Из поиска по картинкам пропадем :(

Цитировать
Можно сделать реврайт в .htaccess или в конфиге NGINX. Нечисть блокировать, порядочных пользователей пропускать.

Если можно поподробней, или в тему ткните, пжл.

Цитировать
Закрыть папку /administrator http-basic авторизацией

На хостинге есть такая функция, можно на папку пароль поставить. Но, я так поняла, паролем к папке будет пароль к админке на хостинге.

Цитировать
А ещё неплохо бы заявление в полицию написать.

Уже практически готова хоть президенту писать, только на кого? На хостинг? На злоумышленников? Так никто "выкуп" не просит...
*

Филипп Сорокин

  • Завсегдатай
  • 1918
  • 160 / 4
  • разработчик.москва
Цитировать
Если можно поподробней, или в тему ткните, пжл.
Нет такой темы: надо составлять правила согласно логам -- проверяйте User Agent, посылаемые заголовки и блокируйте супостатов!

Цитировать
Уже практически готова хоть президенту писать, только на кого?
По-моему, в полиции есть специальный отдел, который занимается преступлениями в области IT. Не могу Вам подсказать, может Google поможет?
*

AlekVolsk

  • Гуру
  • 6915
  • 415 / 4
Обычный хостинг на Таймвебе, без VDS
Вы попали чисто конкретно: был доказанный случай, когда организацией ддоса являлся сам таймвеб, прямо-таки навязывая более дорогой тариф, это их нормальная практика, однозначно меняйте хостера, по другому вы от этого не избавитесь, еще и уйти от них будет проблематично...
*

natalyaegorova

  • Осваиваюсь на форуме
  • 34
  • 0 / 0
Цитировать
Вы попали чисто конкретно: был доказанный случай, когда организацией ддоса являлся сам таймвеб, прямо-таки навязывая более дорогой тариф, это их нормальная практика, однозначно меняйте хостера, по другому вы от этого не избавитесь, еще и уйти от них будет проблематично...

Была такая мысль, что "это жжжжж не спроста"... Видимо так и есть. Какой нормальный человек будет бомбить чужой сайт просто так...
*

SmokerMan

  • Гуру
  • 5293
  • 720 / 26
Вы попали чисто конкретно: был доказанный случай, когда организацией ддоса являлся сам таймвеб, прямо-таки навязывая более дорогой тариф, это их нормальная практика, однозначно меняйте хостера, по другому вы от этого не избавитесь, еще и уйти от них будет проблематично...
да чушь это полная
может быть имело место просто доса, естественно он превысит нагрузки, и из-за этого его отключают
*

wishlight

  • Живу я здесь
  • 4980
  • 293 / 1
  • от 150 руб быстрый хостинг без блокировок
Таймвеб? Ну я помню как сайт в разработке на голой Joomla закрытый по IP стал давать нагрузку как хороший портал. Выводы сделал.
*

natalyaegorova

  • Осваиваюсь на форуме
  • 34
  • 0 / 0
Ну, в принципе, все понятно.
Всем большое спасибо за ответы, ушла искать хостинг.
*

AlekVolsk

  • Гуру
  • 6915
  • 415 / 4
позволю порекомендовать vastvps либо beget, поинтересуйтесь в поддержке, какие именно тарифы с анти-ддосом, не на всех тарифах опция доступна
не рекомендую рег.ру и никхост (это по сути одна контора) по причине жутко устаревшего железа
*

Taatshi

  • Глобальный модератор
  • 5259
  • 481 / 2
  • Верстаем и кодим. Обращайтесь ;)
Да нет там никакого Ддоса. Чистите сайт от вирусов. Три недели)))) У Вас мания величия)
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3, ОБНОВЛЕНИЕ  |  ОТЗЫВЫ 
Связь: telegram - Taatshi, почта - Taatshi на яндексе, Skype - Taatshi
*

natalyaegorova

  • Осваиваюсь на форуме
  • 34
  • 0 / 0
Цитировать
позволю порекомендовать
Спасибо, приму к сведению.

Цитировать
Да нет там никакого Ддоса. Чистите сайт от вирусов. Три недели)))) У Вас мания величия)

А то! Мы такие ;) Вот скрин статистики



Сегодня с утра поменяли тариф на более дорогой и нагрузка на сервер снизилась до обычного состояния. Совпадение? Не думаю...
А сайт на вирусы и вредоносный код я проверяла (в.ч. и Айболитом)
*

natalyaegorova

  • Осваиваюсь на форуме
  • 34
  • 0 / 0
РЕШЕНО: Поменяли хостера и проблема отвалилась сама собой.
*

winstrool

  • Давно я тут
  • 820
  • 51 / 2
  • Свободен для работы
Обычный хостинг на Таймвебе, без VDS

Пора бы уже какой нить лестный отзыв о хостинге timeweb.com написать, что timweb не честен со своими клиентами и принуждает повышать на более дорогие тарифы, блокируя аккаунт и аргументируя это ДДОС'ом...
*

beliyadm

  • Легенда
  • 9758
  • 1664 / 66
  • Севастополь, Россия
а что там писать-то? timeweb редкостное дерьмо еще лет 7 назад про это все знали, теперь же занялись ддосом свом же клиентов, позорище
Все истины, которые я хочу вам изложить, — бесстыдная ложь. Сделать всё хорошо
TLG: @Beliyadm
*

Arkadiy

  • Гуру
  • 5317
  • 463 / 2
  • Крепитесь, други.
Сижу на timeweb, когда ддосят, устанавливаю admintools где еще не установил. Никаких проблем.
*

dimasan57

  • Захожу иногда
  • 93
  • 1 / 0
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

Способы защиты сайта от DDoS атак?

Автор IgorMJ

Ответов: 7
Просмотров: 1251
Последний ответ 05.10.2021, 21:39:26
от ShopES
[Решено] Заразились в один день 4 аккаунта по 10 сайтов

Автор Stich SPb

Ответов: 356
Просмотров: 68317
Последний ответ 13.09.2019, 18:49:33
от diana1975
Бесплатная защита сайта от взлома, парсеров, DDoS и других кибератак

Автор Core System

Ответов: 16
Просмотров: 2559
Последний ответ 09.06.2018, 14:58:54
от Core System
Делаю почту в общих настройках через smtp - в тот же день ящик взломан

Автор Mehanick

Ответов: 22
Просмотров: 1104
Последний ответ 25.05.2018, 08:11:19
от dmitry_stas
Спам-атака на форму обратной связи и нагрузка на сервер - как побороть?

Автор Antonio Racter

Ответов: 11
Просмотров: 4930
Последний ответ 07.07.2017, 15:24:40
от Antonio Racter