0 Пользователей и 1 Гость просматривают эту тему.
  • 18 Ответов
  • 751 Просмотров
*

rezchik

  • Осваиваюсь на форуме
  • 38
  • 0
Здравствуйте.
В течении примерно 10 часов сайт превышал  допустимую нагрузку и  cpu в этот день превысило в 3,5 раз.
Затем все установилось в в обычной норме 25% от допустимой. Администратор сразу предложил другой тарифный план.
Сам в файлах logs ничего не обнаружил. На что админ ответил:
Потому что вам нужно было самостоятельно открыто логи и посмотреть что именно создавало эти запросы к вашему сайту .
Сделав это вы бы увидели что топ по запросам составляют поисковые боты
   2206 66.249.78.250
   3460 52.12.223.139
   4781 66.102.9.8
   4932 66.102.9.121
   4954 66.102.9.111

А также один адрес который активно создавал запросы к вашему сайту чем и добавил нагрузки.
 132913 185.93.185.246
Как определить что это за поисковые боты и адрес. И можно их заблокировать?
*

effrit

  • Группа развития
  • 7580
  • 822
  • effrit.com
можно попробовать вот такое, как вариант
https://github.com/bluedragonz/bad-bot-blocker/blob/master/.htaccess#L225

только Яндекс убрать из списка, ибо без него сайту погрустнеет ))
ну может кто-то более умный прокомментирует совет.
*

flyingspook

  • Moderator
  • 3620
  • 236
Google в вебмастере настраивается на время посещения, для яндекса пишем в роботс
Код
User-agent: Yandex
Crawl-delay: 2 # задает таймаут в 2 секунды
таймаут в среднем 5 ставим размещаем в самом вверху
*

draff

  • Практически профи
  • 2776
  • 172
  • step by step
Цитировать
А также один адрес который активно создавал запросы к вашему сайту чем и добавил нагрузки.
 132913 185.93.185.246
Как определить что это за поисковые боты и адрес. И можно их заблокировать?
Узнать можно на https://2ip.ru/whois/ . Какие расширения установлены на сайте?
Удалю вирус с сайта. Тема в коммерческом разделе
Создам плагин , модуль под заказ для VirtueMart , JoomShopping
*

rezchik

  • Осваиваюсь на форуме
  • 38
  • 0
jcoments, Xmap, mod-custom   остальные что установлены в Joomla 1.5.18 stable
*

draff

  • Практически профи
  • 2776
  • 172
  • step by step
Цитировать
Joomla 1.5.18
Нужно обновить до 1.5.26 + отдельные  патчи безопасности для Joomla 1.5. Ну и банить все равно придется. Встречаются запросы по уязвимости редактора ICE и в 2016 году.
Удалю вирус с сайта. Тема в коммерческом разделе
Создам плагин , модуль под заказ для VirtueMart , JoomShopping
*

rezchik

  • Осваиваюсь на форуме
  • 38
  • 0
 2206 66.249.78.250
   3460 52.12.223.139
   4781 66.102.9.8
   4932 66.102.9.121
   4954 66.102.9.111
132913 185.93.185.246
как IP  АДРЕСА 2ip.ru/whois не определяет.
*

winstrool

  • Завсегдатай
  • 773
  • 42
  • Свободен для работы
2206 66.249.78.250
   3460 52.12.223.139
   4781 66.102.9.8
   4932 66.102.9.121
   4954 66.102.9.111
132913 185.93.185.246
как IP  АДРЕСА 2ip.ru/whois не определяет.
Ну с вашими познаниями и пониманием вещей 100% вы самостоятельно вопрос не решите!
IP адреса:
66.249.78.250 а не  2206 66.249.78.250 и так далие по списку...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям
*

rezchik

  • Осваиваюсь на форуме
  • 38
  • 0
Все  IP кроме нижнего США. В основном с разных городов и провайдеров. Но общее у них Ref:https://whois.arin.net/. Последний с Украины. Что лучше заблокировать все IP или https://whois.arin.net/?
*

Bright

  • Осваиваюсь на форуме
  • 174
  • 0
   2206 66.249.78.250
   3460 52.12.223.139
   4781 66.102.9.8
   4932 66.102.9.121
   4954 66.102.9.111
Это ни о чём, на месте техподдержки чернила поэкономил бы.

А также один адрес который активно создавал запросы к вашему сайту чем и добавил нагрузки.
 132913 185.93.185.246
А вот это весело. Он один многократно превысил весь тот список.
За 133 тысячи запросов в баню его, даже не разбираясь )
*

Bright

  • Осваиваюсь на форуме
  • 174
  • 0

За 133 тысячи запросов в баню его, даже не разбираясь )
А вообще надо обязательно смотреть логи посещений. Запрос запросу рознь. Запросы могут быть легкими, могут тяжелыми, а могут быть вообще "наощупь", по несуществующим объектам - на них ЦП вместо доли секунды может подвиснуть по несколько секунд на каждом (типа ищет) и из-за этого получится перегрузка на относительно небольшом количестве запросов (при хорошем их "качестве").

Я не спец в этом, но написал что понял в процессе борьбы с такой же нечистью. А спецы поправят, если что. :)
*

rezchik

  • Осваиваюсь на форуме
  • 38
  • 0
Интересно что перед этой нагрузкой 12 июля. Нашел такое сообщение. Этот сервер MySol запущен 11 июня 2016г.
*

vitzer

  • Давно я тут
  • 257
  • 4
vvm-auto.ru
Началось под новый год. Но сегодня предел. Начал вычищать IP: запросы реально цикличные - строго на один или пару файлов, или на одну-две конкретные страницы.
Есть ли универсальное решение для виртуального хостинга? Что-то конкретных ответов в теме не увидел. Или ждать, пока отвалятся сами собой?
*

flyingspook

  • Moderator
  • 3620
  • 236
vvm-auto.ru
Началось под новый год. Но сегодня предел. Начал вычищать IP: запросы реально цикличные - строго на один или пару файлов, или на одну-две конкретные страницы.
Есть ли универсальное решение для виртуального хостинга? Что-то конкретных ответов в теме не увидел. Или ждать, пока отвалятся сами собой?
Ждать, или брать у хостера платные защиты.
*

SeBun

  • Практически профи
  • 3154
  • 193
  • @SeBun48
Вообще универсальных решений нет и нужно разбираться в каждом конкретном случае. Чаще всего нагрузку создают внедряемые при взломе скрипты. Но буквально перед НГ был перецедент - у клиента, который имел шаред-хостинг у TimeWeb была дикая нагрузка на ресурсы, ему впарили самый дорогой тариф для Bitrix, якобы только он может выдержать нагрузку. Не прошло и недели, клиенту предлагают подергать ползунки нагрузки - увеличить максимально допустимую нагрузку на процессор и базу, естественно это дополнительные расходы. Клиент в шоке. После переноса сайта на мой хостинг нагрузка исчезла полностью. При этом только один форум у клиента Весит порядка 10Гб.

Я не хочу катить бочку на сотрудников TimeWeb, но это уже не первый такой прецедент. Сам ушел от них по той же причине - стали впаривать тариф, нагрузка превышает допустимые пределы. Просканировал сайт - все чисто. Перенес на другой хостинг - и все стабилизировалось.

Но повторюсь - нужен аудит сайта в любом случае. Просите у хостера логи сервера и анализируйте. Хотя бы так для начала.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

vitzer

  • Давно я тут
  • 257
  • 4
Но повторюсь - нужен аудит сайта в любом случае. Просите у хостера логи сервера и анализируйте. Хотя бы так для начала.
Я на hc.ru. Реально левые IP атакуют. После блокировки отображаются в панели ошибок: по 9-10 запросов в секунду с одного IP.
Хостер платной защиты не предлагает. Но после вопроса: что делать, менять тарифный план или искать другой хостинг, обещал разобраться. Правда, уже дня два ни ответа, ни привета. Сижу жду... и чищу потихоньку IP.
*

SeBun

  • Практически профи
  • 3154
  • 193
  • @SeBun48
Скорее всего щупают. Могу порекомендовать отрубить доступ с прокси (именно с них идут запросы) и ограничить по странам.

Вот кусок кода из моего класса, думаю, сообразите, как адаптировать под себя:

Код: php
    /**
     * Если посетитель пришел с прокси-сервера, то в переменной $_SERVER['HTTP_VIA']
     * хранится имя, версия программного обеспечения и номер порта.
     *
     * @return boolean Возвращает TRUE, если есть признак принадлежности к прокси.
     */
    private function detectVIA()
    {
        
        if (!empty($_SERVER['HTTP_VIA'])) {
          return true;
        }
        
        return FALSE; //строка пуста.
    
    }


    private function detectPort()
    {
        $ports = array(8080,80,81,1080,6588,8000,3128,553,554,4480);
        
        if ($_SERVER['REMOTE_ADDR'] == '127.0.0.1') {
            return FALSE; // отключить для localhost
        }
        
        foreach($ports as $port) {
            if (@fsockopen($_SERVER['REMOTE_ADDR'], $port, $errno, $errstr, 30)) {
                return true;
            }
        }
    }

В .htaccess директивой auto_prepend_file подключите файлик с проверкой прокси, и они будут резаться. Сначала проверяете первой функцией. Если вернула ложь, проверяете второй.

Второе - написал, как ограничить по странам тут.
« Последнее редактирование: 08.01.2017, 02:19:17 от SeBun »
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
*

vitzer

  • Давно я тут
  • 257
  • 4
Скорее всего щупают. Могу порекомендовать отрубить доступ с прокси (именно с них идут запросы) и ограничить по странам.

Вот кусок кода из моего класса

Второе - написал, как ограничить по странам тут.
Спасибо!

Отписался хостер - сбой на их стороне.
« Последнее редактирование: 10.01.2017, 10:40:34 от vitzer »
*

SeBun

  • Практически профи
  • 3154
  • 193
  • @SeBun48
Я чуть подкорректировал код, обратите внимание. Сначала проверяете $_SERVER['HTTP_VIA'], если проскочило, щупаем порты прокси. Если нашли прокси, можно, например, выводить капчу. Ну и еще кусочек кода:

Код: php
sleep(2);

Для юзера не критично. А вот бот обломится.
Оказываю услуги по Joomla | Миграция на Joomla 3.x | Сопровождение | IT-аутсорсинг
Чтобы оставить сообщение,
Вам необходимо Войти или Зарегистрироваться
 

На протяжении месяца постоянно взламывают сайт

Автор kaaaaaljan

Ответов: 4
Просмотров: 373
Последний ответ 17.07.2017, 21:36:10
от Sulpher
Помогите вылечить сайт от вирусов

Автор Victor333

Ответов: 26
Просмотров: 533
Последний ответ 15.06.2017, 18:35:15
от Миха1211
Атака на сайт?

Автор yura88851

Ответов: 7
Просмотров: 745
Последний ответ 30.03.2017, 22:40:00
от yura88851
Как заблокировать ломящихся на сайт нехороших людей?

Автор radist_z

Ответов: 24
Просмотров: 401
Последний ответ 26.03.2017, 22:49:54
от ProtectYourSite
Ломятся на сайт

Автор yura88851

Ответов: 6
Просмотров: 285
Последний ответ 07.03.2017, 03:16:09
от Филипп Сорокин