Продолжительная DDoS атака. Шел 16-й день DDoS атаки. Мы отбивались, как могли

  • 28 Ответов
  • 1157 Просмотров

0 Пользователей и 1 Гость просматривают эту тему.

*

natalyaegorova

  • Осваиваюсь на форуме
  • ***
  • 34
  • 0
Всем добрый день/вечер/ночь/утро

Сложилась очень неприятная ситуация: сайт подвергается атаке уже третью неделю.
18-го августа пришло письмо от техподдержки, что сайт создает чрезмерную нагрузку на сервер и его скоро отключат… либо переходите на более дорогой тарифный план.

Как показал график нагрузки на сервер, атака началась еще 11-го числа (надеюсь это никак не связано, но именно 11-го была подключена услуга от хостинга «Ускоритель сайтов»). Так как за 6 лет работы сайта такой ситуации не было, потеряли больше недели самостоятельно, разбираясь, в чем дело.

На все вопросы о причине нагрузки на сервер, техподдержка просто отписывалась фразами «Проведите аудит кода», «Проведите оптимизацию и отладку в рамках среды разработки», «Проведите анализ производительности сайта с помощью средств CMS» и т.д.

В итоге, посмотрев файл access_log поняли, что сайт уже несколько дней подвергается DDoS-атакам. IP адресов, которые долбятся на сайт, очень много, в файле более 60 тысяч строк, и блокировать их всех с помощью .htaccess нереально!

Пишу об этом в техподдержку и получаю ответ: «Если блокировка IP средствами файла .htaccess не представляется возможной, то для защиты своих проектов Вам необходимо обратиться к сторонним профильным организациям, например CloudFlare. С нашей стороны не предоставляется защиты от DDoS атак.»

Ну ок, чё! 24-го августа регистрирую сайт на CloudFlare, включаю режим «Сайт под атакой». 25-го нагрузка на сервер снижается, но! Стоит только выключить режим работы «Сайт под атакой» как нагрузка опять ползет вверх. И видно, что долбят… Германия, Франция, Россия, Украина и еще овердофига всех!

На все вопросы к хостеру, что еще можно сделать, получаю один и тот же ответ «Проведите аудит кода», «Проведите оптимизацию…» и т.д… либо «примите решение об адекватной смене условий размещения».

Перечитала практически весь форум на эту тему. Проверила сайт на вирусы. Проверила файлы на вредоносный код, ничего, что было на форуме описано, не нашла, но я тот еще спец. Посмотрев файл с логами, обнаружила, что несколько ip-шников постоянно долбятся то ли в админку, то ли на регистрацию (хотя формы регистрации на сайте нет).

Отсюда вопросы:
Как долго может продолжаться DDoS атака?
Что можно сделать, что бы атака прекратилась?
Как еще можно защитить сайт?

Может, у кого была подобная ситуация, поделитесь опытом борьбы!

Пы.сы: Сайт работает, но посещаемость падает :(. Я так понимаю, Яндекс такое «не любит».

*

Филипп Сорокин

  • Практически профи
  • *******
  • 1780
  • 135
Цитировать
Как долго может продолжаться DDoS атака?
До тех пор, пока у её заказчика не закончатся деньги на её организацию.

Цитировать
Что можно сделать, что бы атака прекратилась?
Существует много техник, самая простая -- проверка по кукам и JavaScript: боты начального уровня не умеют ни куки писать, ни читать JavaScript -- банить айпишники, которые попадают под фильтры. В рамках виртуального хостинга и без специализированной помощи этого достичь невозможно. Возможно, анти-ддос сервисы будут для Вас лучшим решением.

А что у Вас за сайт, если не секрет?
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

wishlight

  • Профи
  • ********
  • 3593
  • 220
  • skype aqaus.com
Смените хостера на того, кто предоставит вам защиту от ddos. Возьмите платный аккаунт cloudflare (хотя с продвинутой ддос защитой это дорого).

*

Филипп Сорокин

  • Практически профи
  • *******
  • 1780
  • 135
Смените хостера на того, кто предоставит вам защиту от ddos. Возьмите платный аккаунт cloudflare (хотя с продвинутой ддос защитой это дорого).
А ещё неплохо бы заявление в полицию написать.
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
а что в логах пишется? какие запросы? какой хостинг? у вас просто аккаунт или VDS? также имеет смысл глянуть error_log? Какие то программные работы или обновления перед этим проводились?
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

natalyaegorova

  • Осваиваюсь на форуме
  • ***
  • 34
  • 0
А что у Вас за сайт, если не секрет?
Не секрет http://electromontaj-st.ru
Сайт простенький, таких уж позиций, что б нас валить, вроде, пока не достигли :) Вообще не понятно кому мы так нужны.

*

natalyaegorova

  • Осваиваюсь на форуме
  • ***
  • 34
  • 0
а что в логах пишется? какие запросы? какой хостинг? у вас просто аккаунт или VDS?

В логах запросы на авторизацию и таких несколько тысяч за месяц
"2016-08-22T11:48:41+00:00   INFO 217.79.62.98 joomlafailure Имя пользователя и пароль не совпадают или у вас ещё нет учётной записи на сайте"

Обычный хостинг на Таймвебе, без VDS


*

draff

  • Практически профи
  • *******
  • 2739
  • 169
  • step by step
Цитировать
что несколько ip-шников постоянно долбятся то ли в админку, то ли на регистрацию (хотя формы регистрации на сайте нет).
Закрыть папку /administrator http-basic авторизацией, Отключить регистрацию в админке Joomla.
Поищите в разделе Безопасность тему про ДДОС, в которой выложили скрипт index.php с защитой от ДДОС

*

natalyaegorova

  • Осваиваюсь на форуме
  • ***
  • 34
  • 0
В файле  error_log запросы по всем картинкамна сайте типа этого
[Fri Aug 26 06:27:45 2016] [error] [client 92.53.96.13] File does not exist: /home/x/xxxxxxxx/electromontaj-st/public_html/templates/dd_engineer_47/images/footerrssicon.png, referer:

Подключила услугу от хостинга "Ускорение сайтов" и тестировала JotCache на сайте

*

natalyaegorova

  • Осваиваюсь на форуме
  • ***
  • 34
  • 0
Закрыть папку /administrator http-basic авторизацией, Отключить регистрацию в админке Joomla.
Поищите в разделе Безопасность тему про ДДОС, в которой выложили скрипт index.php с защитой от ДДОС

Авторизация отключена, тему поищу

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
да уж.... по одной строчке из логов много что даст для понимания проблемы....
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

natalyaegorova

  • Осваиваюсь на форуме
  • ***
  • 34
  • 0
да уж.... по одной строчке из логов много что даст для понимания проблемы....

Сколько надо? Если из error_log, то там их 1,5 тысячи и все однопитпные, ведут к картинкам. Если из logs_error то их там 186 тысч.
Я выложу, если это поможет. Главное, что б места хватило :)

*

draff

  • Практически профи
  • *******
  • 2739
  • 169
  • step by step
А если закрыть доступ к папке /images ? Яндекс переживет ?
http://joomlaforum.ru/index.php/topic,210027.0.html

*

Филипп Сорокин

  • Практически профи
  • *******
  • 1780
  • 135
А если закрыть доступ к папке /images ? Яндекс переживет ?
Можно сделать реврайт в .htaccess или в конфиге NGINX. Нечисть блокировать, порядочных пользователей пропускать.
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

natalyaegorova

  • Осваиваюсь на форуме
  • ***
  • 34
  • 0
Цитировать
А если закрыть доступ к папке /images ? Яндекс переживет ?

Очень не хотелось бы, 90% фоток на сайте оригинальные, да и фотогалерея достаточно большая. Из поиска по картинкам пропадем :(

Цитировать
Можно сделать реврайт в .htaccess или в конфиге NGINX. Нечисть блокировать, порядочных пользователей пропускать.

Если можно поподробней, или в тему ткните, пжл.

Цитировать
Закрыть папку /administrator http-basic авторизацией

На хостинге есть такая функция, можно на папку пароль поставить. Но, я так поняла, паролем к папке будет пароль к админке на хостинге.

Цитировать
А ещё неплохо бы заявление в полицию написать.

Уже практически готова хоть президенту писать, только на кого? На хостинг? На злоумышленников? Так никто "выкуп" не просит...

*

Филипп Сорокин

  • Практически профи
  • *******
  • 1780
  • 135
Цитировать
Если можно поподробней, или в тему ткните, пжл.
Нет такой темы: надо составлять правила согласно логам -- проверяйте User Agent, посылаемые заголовки и блокируйте супостатов!

Цитировать
Уже практически готова хоть президенту писать, только на кого?
По-моему, в полиции есть специальный отдел, который занимается преступлениями в области IT. Не могу Вам подсказать, может Google поможет?
Ставь лайк, если согласен, и делай репост!

  => мои публикации
    => мои работы
      => спектр моих услуг

*

AlekVolsk

  • Профи
  • ********
  • 6301
  • 336
Обычный хостинг на Таймвебе, без VDS
Вы попали чисто конкретно: был доказанный случай, когда организацией ддоса являлся сам таймвеб, прямо-таки навязывая более дорогой тариф, это их нормальная практика, однозначно меняйте хостера, по другому вы от этого не избавитесь, еще и уйти от них будет проблематично...

*

natalyaegorova

  • Осваиваюсь на форуме
  • ***
  • 34
  • 0
Цитировать
Вы попали чисто конкретно: был доказанный случай, когда организацией ддоса являлся сам таймвеб, прямо-таки навязывая более дорогой тариф, это их нормальная практика, однозначно меняйте хостера, по другому вы от этого не избавитесь, еще и уйти от них будет проблематично...

Была такая мысль, что "это жжжжж не спроста"... Видимо так и есть. Какой нормальный человек будет бомбить чужой сайт просто так...

*

SmokerMan

  • Профи
  • ********
  • 5329
  • 689
Вы попали чисто конкретно: был доказанный случай, когда организацией ддоса являлся сам таймвеб, прямо-таки навязывая более дорогой тариф, это их нормальная практика, однозначно меняйте хостера, по другому вы от этого не избавитесь, еще и уйти от них будет проблематично...
да чушь это полная
может быть имело место просто доса, естественно он превысит нагрузки, и из-за этого его отключают

*

wishlight

  • Профи
  • ********
  • 3593
  • 220
  • skype aqaus.com

*

natalyaegorova

  • Осваиваюсь на форуме
  • ***
  • 34
  • 0
Ну, в принципе, все понятно.
Всем большое спасибо за ответы, ушла искать хостинг.

*

AlekVolsk

  • Профи
  • ********
  • 6301
  • 336
позволю порекомендовать vastvps либо beget, поинтересуйтесь в поддержке, какие именно тарифы с анти-ддосом, не на всех тарифах опция доступна
не рекомендую рег.ру и никхост (это по сути одна контора) по причине жутко устаревшего железа

*

Taatshi

  • Support Team
  • *****
  • 4780
  • 452
Да нет там никакого Ддоса. Чистите сайт от вирусов. Три недели)))) У Вас мания величия)
ВЕРСТКА, САЙТЫ ПОД КЛЮЧ, УДАЛЕНИЕ ВИРУСОВ, МИГРАЦИЯ НА JOOMLA 3  /  ОТЗЫВЫ 
Минимальная ставка за платные услуги 1000 рэ Связь: telegram - Taatshi, почта - Taatshi на яндексе.

*

natalyaegorova

  • Осваиваюсь на форуме
  • ***
  • 34
  • 0
Цитировать
позволю порекомендовать
Спасибо, приму к сведению.

Цитировать
Да нет там никакого Ддоса. Чистите сайт от вирусов. Три недели)))) У Вас мания величия)

А то! Мы такие ;) Вот скрин статистики



Сегодня с утра поменяли тариф на более дорогой и нагрузка на сервер снизилась до обычного состояния. Совпадение? Не думаю...
А сайт на вирусы и вредоносный код я проверяла (в.ч. и Айболитом)

*

natalyaegorova

  • Осваиваюсь на форуме
  • ***
  • 34
  • 0
РЕШЕНО: Поменяли хостера и проблема отвалилась сама собой.

*

winstrool

  • Завсегдатай
  • *****
  • 758
  • 39
  • Свободен для работы
Обычный хостинг на Таймвебе, без VDS

Пора бы уже какой нить лестный отзыв о хостинге timeweb.com написать, что timweb не честен со своими клиентами и принуждает повышать на более дорогие тарифы, блокируя аккаунт и аргументируя это ДДОС'ом...
Вылечу ваш сайт от заразы!
Хочешь проверить свой самописный модуль на баги? пожалуйста! предварительно ознакомтесь с правилами!

Мониторинг обменных пунктов WebMoney по выгодным условиям

*

beliyadm

  • Профи
  • ********
  • 8359
  • 1527
  • Севастополь == Россия
а что там писать-то? timeweb редкостное дерьмо еще лет 7 назад про это все знали, теперь же занялись ддосом свом же клиентов, позорище
Все истины, которые я хочу вам изложить, — бесстыдная ложь.
Записки нетрезвого кодера || -=Joomla FAQ=- || -=все плохо=- || skype: beliyadm_pb

*

Arkadiy

  • Группа развития
  • *****
  • 5342
  • 440
  • Крепитесь, други.
Сижу на timeweb, когда ддосят, устанавливаю admintools где еще не установил. Никаких проблем.

*

dimasan57

  • Осваиваюсь на форуме
  • ***
  • 79
  • 1