DDos как избежать последствий атаки? - Безопасность сайтов на Joomla

Доброго всем времени суток уважаемые форумчане. К сожалению на форуме не нашел тем про DDos атаки (всего пару тройку).  4 года назад я зарегился здесь, после того как был создан мой сайт, потому благодарен всем форумчанам и админу форума, поскольку многому научился и получил помощь от юзеров форума. Однако признаюсь честно, из разряда чайников я думаю пока не перешел. И особенно того что касается DDos. И вот настал для меня черный день, когда хостер прислал сообщение: Зафиксирована DDoS-атака, направленная на домен ka*****.ru, размещенный на Вашем аккаунте. К сожалению, в нашей компании не предоставляется отдельная услуга, использование которой гарантировало бы работу домена под DDoS-атакой, даже за дополнительную плату.
Если сайт на этом домене требуется срочно вернуть к работе, то можем рекомендовать два варианта.
Первый вариант - воспользоваться услугами компаний, которые обеспечивают фильтрацию трафика на собственных серверных мощностях, тем самым обеспечивая защиту конечного сервера с сайтом от атаки. В этом случае в ответе на данное письмо нам понадобится IP-адрес фильтрующего сервера, который нам надо будет задать в А-записи для Вашего домена.
Второй вариант - перенести сайт с атакуемым доменом на хостинг, который гарантированно обеспечит Вам работу сайта даже в случае DDoS-атаки на домен.
Стал разбираться, писать в тех поддержку, однако пояснений и помощи так и не получил, только сухие сообщения: Нашими специалистами было зафиксировано 2788 POST-запросов в секунду на Ваш сайт, что создавало существенную нагрузку на сервер. POST-запросы обрабатываются программным обеспечением веб-сервера. Веб-сервер — это сервер, принимающий HTTP-запросы от клиентов, обычно веб-браузеров, и выдающий им HTTP-ответы, обычно вместе с HTML-страницей, изображением, файлом, медиа-потоком или другими данными. - это на просьбу пояснить какому методу, да и вообще какому типу атаки был подвержен мой сайт. Панель аккаунта висела, заархивировать и сохранить у себя на компе с сервера хостер провайдера access log какое-то время не представлялось возможным. Затем через ftp клиент скачал этот файл который весил 1.3Гб. Стал смотреть по времени атаки. Она началась в 19.30 - т.е. эти самые Post запросы вот часть из них:
По большому счету судя по лог файлу запросы на мой сайт происходили только вот с этих сайтов (ну можно прибавить ещё 3-4) Ай пи адреса тоже не имеют особого разброса, т.е. к примеру в случае с 89.143.86.84 меняется то 86, то на 85.
В общем я в полной растерянности и штопоре. Понятное дело по совету хостера я не смогу воспользоваться вариантом с фильтрацией трафика скажем Qrator - для меня суммы неподъемные. Да к тому же сайт мой был информационно-аналитический, причём регионального уровня, включая элементы критики в адрес власть предержащих нашей республики, и освещение злободневных проблем жителей. Т.е. своего рода общественно-политический а не связанный с бизнесом или интернет магазином. Поэтому скорее всего мне придётся выбирать другой хостинг, и поэтому прошу совета в данном вопросе, на основе быть может собственного опыта или опыта других - куда лучше перебираться. Переехать на другой хост не проблема, но что-то мне подсказывает это не решение проблемы, и атаки могут повториться и на другом хостинге. Был бы признателен и за помощь с пояснениями относительно моей ситуации, поскольку вторые сутки Google читаю, изучаю - в голове такой бардак, что не могу сообразить и прикрутить к своей проблеме. И еще 3000 запросов в сек. это много, к примеру если на сайт зашли к примеру 50 пользователей или 100? Я понимаю, что все зависит от самого сайта и настроек, как в некоторых постах написано, - но может сам хостер также в своих настройках посещения моего сайта лимитирует (а нас на одном ай пи у хостера 600 с лишним сайтов). В общем буду примного благодарен за любую помощь и разъяснения: как выйти из этой ситуации и избежать проблем с наименьшими потерями.

Если реальный дидос - это серьезно.
У меня у одного клиента был, отбили даже, но ради безопасности других я попросил съехать, ибо нужны аппартаные решения и совсем другие бюджеты..

Если реальный дидос - это серьезно.
У меня у одного клиента был, отбили даже, но ради безопасности других я попросил съехать, ибо нужны аппартаные решения и совсем другие бюджеты..

Скажите Voland Вы как человек который разбирается, и имеет свой хост, тогда если можно подскажите оптимальный вариант цена/качество для выбора хостера более менее который имеет аппаратные возможности. Насколько я понимаю дидосы реальные это когда нагрузка идет на канальную полосу. Вот поэтому я не пойму судя по логам в дидос были вовлечены не так много машин (т.е. я так думаю это далеко не бот-сеть), или я ошибаюсь? Тогда получается если у меня возрастает число посетителей, соответственно и запросов больше, что по сути хостер умалчивает при оказании услуг - т.е. рассчитано скажем на 500-1000 посетитель в сутки. К самому хостеру претензий и нареканий у меня за 4 года особых не было - все работало, нифига не рушилось. Были так мелочи когда попытка подбора пароля к админке была, боты поисковые малость нагрузку повышали, постепенно росло число посещений и соответсвенно место в поисковиках, но чтобы такого: судя по данным в панели управления моего аккаунта у  хостера нагрузка подымалась до 86%. Поэтому то я за помощью на форум и обратился, поскольку хостера уважаю но сваливать прийдётся.

Ну 3000 POST запросов в секунду это реально много, тем более, что когда пользователи просто заходят, речь идет о GET запросе. А тут судя по логам вам тупо некий бот пытался грузить некую картинку. Вариантов решения данной проблемы не так уж и много. Одно из наиболее эффективных (правда недешевых) решений - это сервисы типа qrator.net, highloadlab.com. Я знаю несколько случаев, когда они помогали отбить знакомым весьма приличные атаки. Из простых вариантов - баны сетей (а порой даже стран) средствами своего сервера или скрипты автобанов IP при превышении некоего кол-ва запросов в секунду.

Скажем так - я не боролся с реальными ddos, а мелочи в несколько тысяч запросов в секунду - отлично отбивал админ.
Так что посоветовать особо не могу, разве что..  не.. трейс клиента ушедшего теряется где то на
inetnum:        91.219.192.0 - 91.219.195.255
netname:        BEST-HOSTER-NET

Из простых вариантов - баны сетей (а порой даже стран) средствами своего сервера или скрипты автобанов IP при превышении некоего кол-ва запросов в секунду.

Именно это и применялось..
Другое дело реальный ddos (когда аж порт зафлужен) - там такое уже не спасет.

Ну 3000 POST запросов в секунду это реально много, тем более, что когда пользователи просто заходят, речь идет о GET запросе. А тут судя по логам вам тупо некий бот пытался грузить некую картинку. Вариантов решения данной проблемы не так уж и много. Одно из наиболее эффективных (правда недешевых) решений - это сервисы типа qrator.net, highloadlab.com. Я знаю несколько случаев, когда они помогали отбить знакомым весьма приличные атаки. Из простых вариантов - баны сетей (а порой даже стран) средствами своего сервера или скрипты автобанов IP при превышении некоего кол-ва запросов в секунду.

Спасибо Smart! Вы в который раз четко мне поясняете! Причем разницы нет то ли в личку я к Вам ранее обращался, то ли вот как сейчас. В том то и дело, что я ума не приложу что творить и куда перебираться. На др. серверах этого хостера есть ещё моих три сайта, но самый раскрученный был этот. Собственно если бы хостер не такой уж жесткий выбор поставил, я быть может поспокойней размышлял, и что либо вставил бы в сайт для блокирования, но тут совсем скис. Я вот к примеру читал что и Ваш сайт по моему как-то атаковали, в общем просто жду советов как и кого выбрать, причем повторюсь в чем корень я так и не понял. Т.е. то что запросы были огромные это я благодаря Вам понял, но что я мог бы сделать до того, и как обезопаситься от такого рода проблемы я так и не вкусил.

Скажем так - я не боролся с реальными ddos, а мелочи в несколько тысяч запросов в секунду - отлично отбивал админ.
Так что посоветовать особо не могу, разве что..  не.. трейс клиента ушедшего теряется где то на
inetnum:        91.219.192.0 - 91.219.195.255
netname:        BEST-HOSTER-NET

Voland примного благодарен! Спасибо за беспокойство! и совет. Попробую глянуть.

Спасибо Smart! Вы в который раз четко мне поясняете! Причем разницы нет то ли в личку я к Вам ранее обращался, то ли вот как сейчас. В том то и дело, что я ума не приложу что творить и куда перебираться. На др. серверах этого хостера есть ещё моих три сайта, но самый раскрученный был этот. Собственно если бы хостер не такой уж жесткий выбор поставил, я быть может поспокойней размышлял, и что либо вставил бы в сайт для блокирования, но тут совсем скис. Я вот к примеру читал что и Ваш сайт по моему как-то атаковали, в общем просто жду советов как и кого выбрать, причем повторюсь в чем корень я так и не понял. Т.е. то что запросы были огромные это я благодаря Вам понял, но что я мог бы сделать до того, и как обезопаситься от такого рода проблемы я так и не вкусил.

Тут надо понимать разницу между ВДС или своим сервером - достаточно нанять одноразово грамотного админа и отбить атаку.
У шаред хостинга же, пусть и больше мощностей - но нет никакого желания отбивать ДДОС на конкретного клиента, а самому - нет полномочий.

http://forum.searchengines.ru/showthread.php?t=718789 - вот как пример, это не мой админ.
Просто пример, что можно программно отбивать 10-100к запросов в секунду, но если больше - уже нужны только аппаратные решения.

http://forum.searchengines.ru/showthread.php?t=718789 - вот как пример, это не мой админ.
Просто пример, что можно программно отбивать 10-100к запросов в секунду, но если больше - уже нужны только аппаратные решения.

Да уж... Voland спс за линк, я правда не знаю как в реале кто либо испоьзовал сию наработку, но одно беспорно, мне кажется хостеры могут такие весчи и сами для себя устанавливать, при  этом отзывов положительных на различных обзорных сайтах будет гораздо больше. Просто я все же предполагаю если бы я своевременно глянул на посещения и перемещения, то нагрузки можно было бы избежать. Да к тому же если бы сам малость попотел и поработал ручками  и довел все до конца - сайт был бы более обезопасен. Включая и скрипт от Андрея Якушева, который блокировал ай пи если запросов с одного ай пи поступает много. Я так и не смог все это дело антидос скрипт установить. Да и вообще я олень, боюсь всего чего-то мигрировать (до сих пор на Джумке 1.0.15 сайт который атаковали сидит), вон и Смарту года два назад надоедал, а он терпеливо мне пояснял. Так что сам виноват. Voland, будь добр поясни пжл. я тут гуглил и помимо статьи основателя и руководителя qrator.net, highloadlab.com я там же на сайте хакер.** нашел и советы пользователей на облачные хостинги. К тому же забугорные. Стоит ли их также рассматривать как возможность по переезду, или попадос завуалированный под этим скрывается?

Да уж... Voland спс за линк, я правда не знаю как в реале кто либо испоьзовал сию наработку, но одно беспорно, мне кажется хостеры могут такие весчи и сами для себя устанавливать, при  этом отзывов положительных на различных обзорных сайтах будет гораздо больше. Просто я все же предполагаю если бы я своевременно глянул на посещения и перемещения, то нагрузки можно было бы избежать. Да к тому же если бы сам малость попотел и поработал ручками  и довел все до конца - сайт был бы более обезопасен. Включая и скрипт от Андрея Якушева, который блокировал ай пи если запросов с одного ай пи поступает много. Я так и не смог все это дело антидос скрипт установить. Да и вообще я олень, боюсь всего чего-то мигрировать (до сих пор на Джумке 1.0.15 сайт который атаковали сидит), вон и Смарту года два назад надоедал, а он терпеливо мне пояснял. Так что сам виноват. Voland, будь добр поясни пжл. я тут гуглил и помимо статьи основателя и руководителя qrator.net, highloadlab.com я там же на сайте хакер.** нашел и советы пользователей на облачные хостинги. К тому же забугорные. Стоит ли их также рассматривать как возможность по переезду, или попадос завуалированный под этим скрывается?

Тут дело в бюджете, если это хостер за 5 баксов - ему нет смысла заморачиваться, да и крупному тоже нет смысла - либо спецхостинг с заметно более высокими тарифами, либо своя ВДСка и грамотный админ.
Тогда уж можно будет о чем-то конкретном разговаривать, а не переливать в порожнее.

Voland у меня хостер предлагал ко всему прочему и cron, но как я уже писал чайник это серьезно (да к тому же пока гром не грянул... только тогда пар пошёл). Я вот наткнулся на вот такую штуку, (просто на будущее для себя), да и для других быть может пригодится от более менее средне слабых атак вот такой скриптик:

Где то в теме раздела Безопасность есть скрипт для Joomla 1.5.х.На локалке работает.
Архив приложил.

Вы кому то крепко насолили, или хостер за Ваш счет себе защиту поставить от ддос хочет

а этих сломали и наши гос структуры не могут восстановить их, весело живем, или им насолили всеже

Вам можно попробовать на уровне своего сервера/сайта сделать следующие, список сайтов как и IP не большой, а значит можно ограничить их и фильтровать post запросы, скажем поставить ограничение от ip(домена) к примеру 10post/в 10секунд с отдачей 403 и ограничением их на сутки(или как понравится хоть в блэк лист), скажем грамотный админ вам это настроит
но вам лучше иметь не шарада хост, а vps, в противном случае писать на уровне кода(php), не лучший будет вариант но все же должен помочь
или как уже посоветовали попробовать что либо для автобана плагин например

Добрый день! Почти аналогичная ситуация, хостер закрывает сайт из-за большой нагрузки. Только запросов не так много и они всего с двух айпи адресов. Вопрос: как заблокировать эти айпи?

Вопрос: как заблокировать эти айпи?

через сервер или в файле .htaccess пример писать не буду вариантов несколько все зависит от серверных настроек нужно по экспериментировать в написании

Большое спасибо, сделал с помощью .htaccess.

Хм, я сейчас посмотрел, оказывается эти запросы, идут с двух айпи адресов и один из них мой! Как так то? Если исключить меня, то один айпи может создавать такую нагрузку на сервер, что хостер в панике мне сайт закрывает? Скажите пожалуйста, такое возможно?

Хм, я сейчас посмотрел, оказывается эти запросы, идут с двух айпи адресов и один из них мой!  Скажите пожалуйста, такое возможно?

А проверить свой комп на наличие вируса.

Хм, я сейчас посмотрел, оказывается эти запросы, идут с двух айпи адресов и один из них мой! Как так то? Если исключить меня, то один айпи может создавать такую нагрузку на сервер, что хостер в панике мне сайт закрывает? Скажите пожалуйста, такое возможно?

IP Ваш или сайта?

Мой айпи 2.93.19.54

По мимо него запросы шли отсюда:
94.19.235.113

При этом нагрузка временами превышает норму в 10 - 15 раз. Вот на хостинге есть статистика 15.07.2013 19:10 1596% . А норма в сутки 100%.

И еще, я к примеру выкладываю трансляцию, потом захожу из разных браузеров и обновляю страницу, что бы проверить все ли работает. Эти действия могут вызывать такую нагрузку?

если IP ваш значит нагрузка скрывается в скриптах и когда вы производите какие либо действия то нагружаете ресурс и пользователи тоже
посмотрите логи

Если Вы имеете ввиду logs/error.php, то там только ошибки входа. Вот такого типа:
2013-07-14   17:35:17   INFO   173.224.125.82   Joomla FAILURE: Имя пользователя и пароль не совпадают или у вас еще нет учетной записи на сайте.

Или я не там смотрел? Вы простите я еще тот чайник. Кстати вот сам сайт http://prosportprognoz.ru/ На Joomla 2.5. Там и скриптов то всего несколько модулей, да jcomments. И эти проблемы начались только вчера, а сайт уже месяц почти работает.

логи сервера смотреть надо

А, понял спасибо. Это если хостер даст посмотреть... И потом, может такое быть, что одни и те же скрипты не давали такой нагрузки, с начала запуска сайта, а потом вдруг стали ее давать?

94.19.235.113 - - [15/Jul/2013:21:26:40 +0400] "POST /index.php?option=com_kide&no_html=1&tmpl=component&task=reload HTTP/1.0" 200 382 "http://prosportprognoz.ru/index.php/free-forecasts/84-forecasts-for-basketball-15-07-2013" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; Trident/5.0; Avant Browser)"
94.19.235.113 - - [15/Jul/2013:21:26:40 +0400] "POST /index.php?option=com_kide&no_html=1&tmpl=component&task=reload HTTP/1.0" 200 382 "http://prosportprognoz.ru/index.php/component/kide/popup" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; Trident/5.0; Avant Browser)"
94.19.235.113 - - [15/Jul/2013:21:26:41 +0400] "POST /index.php?option=com_kide&no_html=1&tmpl=component&task=reload HTTP/1.0" 200 382 "http://prosportprognoz.ru/index.php/free-forecasts/83-forecasts-for-football-15-07-2013" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; Trident/5.0; Avant Browser)"
2.93.19.54 - - [15/Jul/2013:21:26:41 +0400] "POST /index.php?option=com_kide&no_html=1&tmpl=component&task=sesiones&show_sessions=0 HTTP/1.0" 200 382 "http://prosportprognoz.ru/" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.72 Safari/537.36"
2.93.19.54 - - [15/Jul/2013:21:26:43 +0400] "POST /index.php?option=com_kide&no_html=1&tmpl=component&task=reload HTTP/1.0" 200 382 "http://prosportprognoz.ru/" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.72 Safari/537.36"
2.93.19.54 - - [15/Jul/2013:21:26:43 +0400] "POST /index.php?option=com_kide&no_html=1&tmpl=component&task=reload HTTP/1.0" 200 382 "http://prosportprognoz.ru/" "Opera/9.80 (Windows NT 5.1; U; YB/3.5.1; ru) Presto/2.10.229 Version/11.64"
2.93.19.54 - - [15/Jul/2013:21:26:44 +0400] "POST /index.php?option=com_kide&no_html=1&tmpl=component&task=reload HTTP/1.0" 200 382 "http://prosportprognoz.ru/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; AskTbSPC2/5.15.15.35882)"
94.19.235.113 - - [15/Jul/2013:21:26:47 +0400] "POST /index.php?option=com_kide&no_html=1&tmpl=component&task=reload HTTP/1.0" 200 382 "http://prosportprognoz.ru/index.php/free-forecasts/84-forecasts-for-basketball-15-07-2013" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; Trident/5.0; Avant Browser)"
94.19.235.113 - - [15/Jul/2013:21:26:47 +0400] "POST /index.php?option=com_kide&no_html=1&tmpl=component&task=reload HTTP/1.0" 200 382 "http://prosportprognoz.ru/index.php/component/kide/popup" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; Trident/5.0; Avant Browser)"
94.19.235.113 - - [15/Jul/2013:21:26:47 +0400] "POST /index.php?option=com_kide&no_html=1&tmpl=component&task=reload HTTP/1.0" 200 382 "http://prosportprognoz.ru/index.php/free-forecasts/83-forecasts-for-football-15-07-2013" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.1; Trident/4.0; Trident/5.0; Avant Browser)"
2.93.19.54 - - [15/Jul/2013:21:26:49 +0400] "POST /index.php?option=com_kide&no_html=1&tmpl=component&task=reload HTTP/1.0" 200 382 "http://prosportprognoz.ru/" "Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/28.0.1500.72 Safari/537.36"
2.93.19.54 - - [15/Jul/2013:21:26:49 +0400] "POST /index.php?option=com_kide&no_html=1&tmpl=component&task=reload HTTP/1.0" 200 382 "http://prosportprognoz.ru/" "Opera/9.80 (Windows NT 5.1; U; YB/3.5.1; ru) Presto/2.10.229 Version/11.64"
2.93.19.54 - - [15/Jul/2013:21:26:50 +0400] "POST /index.php?option=com_kide&no_html=1&tmpl=component&task=reload HTTP/1.0" 200 382 "http://prosportprognoz.ru/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; InfoPath.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; .NET4.0C; .NET4.0E; AskTbSPC2/5.15.15.35882)"

Это оттуда? Хостер вчера прислал перед блокировкой сайта.