Продолжительная DDoS атака. Шел 16-й день DDoS атаки. Мы отбивались, как могли - Безопасность сайтов на Joomla

Всем добрый день/вечер/ночь/утро

Сложилась очень неприятная ситуация: сайт подвергается атаке уже третью неделю.
18-го августа пришло письмо от техподдержки, что сайт создает чрезмерную нагрузку на сервер и его скоро отключат… либо переходите на более дорогой тарифный план.

Как показал график нагрузки на сервер, атака началась еще 11-го числа (надеюсь это никак не связано, но именно 11-го была подключена услуга от хостинга «Ускоритель сайтов»). Так как за 6 лет работы сайта такой ситуации не было, потеряли больше недели самостоятельно, разбираясь, в чем дело.

На все вопросы о причине нагрузки на сервер, техподдержка просто отписывалась фразами «Проведите аудит кода», «Проведите оптимизацию и отладку в рамках среды разработки», «Проведите анализ производительности сайта с помощью средств CMS» и т.д.

В итоге, посмотрев файл access_log поняли, что сайт уже несколько дней подвергается DDoS-атакам. IP адресов, которые долбятся на сайт, очень много, в файле более 60 тысяч строк, и блокировать их всех с помощью .htaccess нереально!

Пишу об этом в техподдержку и получаю ответ: «Если блокировка IP средствами файла .htaccess не представляется возможной, то для защиты своих проектов Вам необходимо обратиться к сторонним профильным организациям, например CloudFlare. С нашей стороны не предоставляется защиты от DDoS атак.»

Ну ок, чё! 24-го августа регистрирую сайт на CloudFlare, включаю режим «Сайт под атакой». 25-го нагрузка на сервер снижается, но! Стоит только выключить режим работы «Сайт под атакой» как нагрузка опять ползет вверх. И видно, что долбят… Германия, Франция, Россия, Украина и еще овердофига всех!

На все вопросы к хостеру, что еще можно сделать, получаю один и тот же ответ «Проведите аудит кода», «Проведите оптимизацию…» и т.д… либо «примите решение об адекватной смене условий размещения».

Перечитала практически весь форум на эту тему. Проверила сайт на вирусы. Проверила файлы на вредоносный код, ничего, что было на форуме описано, не нашла, но я тот еще спец. Посмотрев файл с логами, обнаружила, что несколько ip-шников постоянно долбятся то ли в админку, то ли на регистрацию (хотя формы регистрации на сайте нет).

Отсюда вопросы:
Как долго может продолжаться DDoS атака?
Что можно сделать, что бы атака прекратилась?
Как еще можно защитить сайт?

Может, у кого была подобная ситуация, поделитесь опытом борьбы!

Пы.сы: Сайт работает, но посещаемость падает . Я так понимаю, Яндекс такое «не любит».

Как долго может продолжаться DDoS атака?

До тех пор, пока у её заказчика не закончатся деньги на её организацию.

Что можно сделать, что бы атака прекратилась?

Существует много техник, самая простая -- проверка по кукам и JavaScript: боты начального уровня не умеют ни куки писать, ни читать JavaScript -- банить айпишники, которые попадают под фильтры. В рамках виртуального хостинга и без специализированной помощи этого достичь невозможно. Возможно, анти-ддос сервисы будут для Вас лучшим решением.

А что у Вас за сайт, если не секрет?

Смените хостера на того, кто предоставит вам защиту от ddos. Возьмите платный аккаунт cloudflare (хотя с продвинутой ддос защитой это дорого).

Смените хостера на того, кто предоставит вам защиту от ddos. Возьмите платный аккаунт cloudflare (хотя с продвинутой ддос защитой это дорого).

А ещё неплохо бы заявление в полицию написать.

а что в логах пишется? какие запросы? какой хостинг? у вас просто аккаунт или VDS? также имеет смысл глянуть error_log? Какие то программные работы или обновления перед этим проводились?

А что у Вас за сайт, если не секрет?

Не секрет http://electromontaj-st.ru
Сайт простенький, таких уж позиций, что б нас валить, вроде, пока не достигли Вообще не понятно кому мы так нужны.

а что в логах пишется? какие запросы? какой хостинг? у вас просто аккаунт или VDS?

В логах запросы на авторизацию и таких несколько тысяч за месяц
"2016-08-22T11:48:41+00:00   INFO 217.79.62.98 joomlafailure Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте"

Обычный хостинг на Таймвебе, без VDS

что несколько ip-шников постоянно долбятся то ли в админку, то ли на регистрацию (хотя формы регистрации на сайте нет).

Закрыть папку /administrator http-basic авторизацией, Отключить регистрацию в админке Joomla.
Поищите в разделе Безопасность тему про ДДОС, в которой выложили скрипт index.php с защитой от ДДОС

В файле  error_log запросы по всем картинкамна сайте типа этого
[Fri Aug 26 06:27:45 2016] [error] [client 92.53.96.13] File does not exist: /home/x/xxxxxxxx/electromontaj-st/public_html/templates/dd_engineer_47/images/footerrssicon.png, referer:

Подключила услугу от хостинга "Ускорение сайтов" и тестировала JotCache на сайте

Закрыть папку /administrator http-basic авторизацией, Отключить регистрацию в админке Joomla.
Поищите в разделе Безопасность тему про ДДОС, в которой выложили скрипт index.php с защитой от ДДОС

Авторизация отключена, тему поищу

да уж.... по одной строчке из логов много что даст для понимания проблемы....

да уж.... по одной строчке из логов много что даст для понимания проблемы....

Сколько надо? Если из error_log, то там их 1,5 тысячи и все однопитпные, ведут к картинкам. Если из logs_error то их там 186 тысч.
Я выложу, если это поможет. Главное, что б места хватило

А если закрыть доступ к папке /images ? Яндекс переживет ?
http://joomlaforum.ru/index.php/topic,210027.0.html

А если закрыть доступ к папке /images ? Яндекс переживет ?

Можно сделать реврайт в .htaccess или в конфиге NGINX. Нечисть блокировать, порядочных пользователей пропускать.

А если закрыть доступ к папке /images ? Яндекс переживет ?

Очень не хотелось бы, 90% фоток на сайте оригинальные, да и фотогалерея достаточно большая. Из поиска по картинкам пропадем

Можно сделать реврайт в .htaccess или в конфиге NGINX. Нечисть блокировать, порядочных пользователей пропускать.

Если можно поподробней, или в тему ткните, пжл.

Закрыть папку /administrator http-basic авторизацией

На хостинге есть такая функция, можно на папку пароль поставить. Но, я так поняла, паролем к папке будет пароль к админке на хостинге.

А ещё неплохо бы заявление в полицию написать.

Уже практически готова хоть президенту писать, только на кого? На хостинг? На злоумышленников? Так никто "выкуп" не просит...

Если можно поподробней, или в тему ткните, пжл.

Нет такой темы: надо составлять правила согласно логам -- проверяйте User Agent, посылаемые заголовки и блокируйте супостатов!

Уже практически готова хоть президенту писать, только на кого?

По-моему, в полиции есть специальный отдел, который занимается преступлениями в области IT. Не могу Вам подсказать, может Google поможет?

Обычный хостинг на Таймвебе, без VDS

Вы попали чисто конкретно: был доказанный случай, когда организацией ддоса являлся сам таймвеб, прямо-таки навязывая более дорогой тариф, это их нормальная практика, однозначно меняйте хостера, по другому вы от этого не избавитесь, еще и уйти от них будет проблематично...

Вы попали чисто конкретно: был доказанный случай, когда организацией ддоса являлся сам таймвеб, прямо-таки навязывая более дорогой тариф, это их нормальная практика, однозначно меняйте хостера, по другому вы от этого не избавитесь, еще и уйти от них будет проблематично...

Была такая мысль, что "это жжжжж не спроста"... Видимо так и есть. Какой нормальный человек будет бомбить чужой сайт просто так...

Вы попали чисто конкретно: был доказанный случай, когда организацией ддоса являлся сам таймвеб, прямо-таки навязывая более дорогой тариф, это их нормальная практика, однозначно меняйте хостера, по другому вы от этого не избавитесь, еще и уйти от них будет проблематично...

да чушь это полная
может быть имело место просто доса, естественно он превысит нагрузки, и из-за этого его отключают

Таймвеб? Ну я помню как сайт в разработке на голой Joomla закрытый по IP стал давать нагрузку как хороший портал. Выводы сделал.

Ну, в принципе, все понятно.
Всем большое спасибо за ответы, ушла искать хостинг.

позволю порекомендовать vastvps либо beget, поинтересуйтесь в поддержке, какие именно тарифы с анти-ддосом, не на всех тарифах опция доступна
не рекомендую рег.ру и никхост (это по сути одна контора) по причине жутко устаревшего железа

Да нет там никакого Ддоса. Чистите сайт от вирусов. Три недели)))) У Вас мания величия)

позволю порекомендовать

Спасибо, приму к сведению.

Да нет там никакого Ддоса. Чистите сайт от вирусов. Три недели)))) У Вас мания величия)

А то! Мы такие Вот скрин статистики



Сегодня с утра поменяли тариф на более дорогой и нагрузка на сервер снизилась до обычного состояния. Совпадение? Не думаю...
А сайт на вирусы и вредоносный код я проверяла (в.ч. и Айболитом)

РЕШЕНО: Поменяли хостера и проблема отвалилась сама собой.

Обычный хостинг на Таймвебе, без VDS

Пора бы уже какой нить лестный отзыв о хостинге timeweb.com написать, что timweb не честен со своими клиентами и принуждает повышать на более дорогие тарифы, блокируя аккаунт и аргументируя это ДДОС'ом...

а что там писать-то? timeweb редкостное дерьмо еще лет 7 назад про это все знали, теперь же занялись ддосом свом же клиентов, позорище

Сижу на timeweb, когда ддосят, устанавливаю admintools где еще не установил. Никаких проблем.

Стыд и срам конечно.