Как остановить спам ботов в данной ситуации? - Безопасность сайтов на Joomla

Доброго дня ребята.

Намучался и все перепробовал (все chmod высталвены правильно).
Есть сайт mysite.info и у него постоянная ошибка выскакивает Error displaying the error page: Application Instantiation Error: Could not connect to MySQL. Раз на раз не приходится, может не выскакивать 5 минут, а потом выскочит при обновлении страницы.
1. Выяснил что эта ошибка вызвана проблемой подключения к MySQL, поскольку она вылазит не постоянно, то логин и пароль тут нипричем (все данный в конфигурационном файле правильные). - ЗНАЧИТ ДЕЛО НЕ В JOOMLA
2. Если пытаешься подключиться к MySQL напрямую, то  вылазит ошибка - #1226 Cannot log in to the MySQL server - выяснилось что количество подключений допустимых в час превышаются многократно - ЗНАЧИТ ПЕРЕГРУЖЕН ТРАФИК К MYSQL
3. Полез в логи Apache¶ - и вижу что каждую долю секунды рвутся спам боты
вот вырезка из лога
4. Как видно из лога есть якобы какае-то папка которая содержит /pw/exit.php? - хотя на сервере у меня ее нет.
5. Пробовал через htaccess полностью закрывать доступ к сайту - логи все равно пишутся и все теже спам боты.

Как можно решить данную проблему, кроме как обращаться к службе поддерки (они ничгео не смогли сделать - сервер находится в литве)?

Всем заранее спасибо.

а по IP банить пробовал ?

а по IP банить пробовал ?

пробовал в htaccess писать следующее:
Order Deny,Allow
Deny from all
Потом смотрел лог апача, и видел что спам бот все равно работает (Каким-то образом проникает в лог файл) - я думал и думаю, что после того как делаешь Deny from all - должно отсекать весь трафик. Но нет.

потом пробовал отсекать по IP
Deny from 141.101.88.179
Потом смотрел лог и все равно есть такой IP в логе.

есть скрипт - банит особо надоевших и слишком часто лезущих, которые по несколько раз обращаются в секунду.
плюс банить в iptables, тогда и до апача не дойдет

есть скрипт - банит особо надоевших и слишком часто лезущих, которые по несколько раз обращаются в секунду.
плюс банить в iptables, тогда и до апача не дойдет

И что за скрипт?
Для простых смертных iptables не всегда доступен, выделенка далеко не у всех.

пробовал в htaccess писать следующее:
Order Deny,Allow
Deny from all

Ошибся в названии htaccess  или нет ? .htaccess проверял, работает ?
Попробуй создай папку /pw/ и положи .htaccess

Окей, сейчас попробую!

Ошибся в названии htaccess  или нет ? .htaccess проверял, работает ?
Попробуй создай папку /pw/ и положи .htaccess

Код

AuthName "Privat Zone" 
AuthType Basic 
AuthUserFile /pub/home/exper/cov/.htpasswd
require valid-user

создал папку PW поместил туда htaccess , в логах все таже ерунда.
Есть советы еще? Спасибо.

Вопрос, каким образом спам-бот обходит Апач?

nginx стоит на фронте . И если падает сайт от ботов, то необходимо настраивать конфиг nginx

Еще узнал, что литовские коллеги поставили такой сервис, как cloudflare айпишники которого лезут в логи.

Если судить вот по этому куску логов

108.162.229.103 - - [23/Jan/2015:10:29:30 +0200] "GET /pw/exit.php?url=tr.anp.se/track?t=c&mid=&uid=206522122&&&http://www.perloca.com/Use_These_Ideas_To_Eradicate_Troubling_Acne_breakouts HTTP/1.1" 403 533 "http://www.safetyguide.biz/modify-company-details?nid=11369&element=http://www.mysite.info/pw/exit.php?url=tr.anp.se/track?t=c&mid=&uid=206522122&&&http://www.perloca.com/Use_These_Ideas_To_Eradicate_Troubling_Acne_breakouts" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.16"

сервер отвечает на данный запрос 403ей ошибкой. А здесь

141.101.98.181 - - [26/Jan/2015:12:58:10 +0200] "GET /pw/exit.php?url=timesjimthorpe.mobi/leaving.php?u=https://www.youtube.com/watch?v=lv2N_4WptxU HTTP/1.1" 404 805 "http://hawaii.info-komen.org/site/UserLogin?logout=1&NEXTURL=http://www.mysite.info/pw/exit.php?url=timesjimthorpe.mobi/leaving.php?u=https://www.youtube.com/watch?v=lv2N_4WptxU" "Opera/9.80 (Windows NT 6.2; Win64; x64) Presto/2.12.388 Version/12.16"

404й ошибкой.

Что из этого вытекает? Если обработчики 403й и 404й ошибок НЕ php-скрипты, выполняющие SQL-запросы, тогда причина перегрузки MySQL не в этом - до MySQL, по логике, запросы просто не должны доходить. Как и до обработчика php. Их ещё раньше "обрезает" Апач. Но при всём при этом сервер вполне может "падать" в результате банальной перегрузки - точно так же, как при DDoS-атаках. Другой вопрос, намеренный ли это DDoS это или чья-то ошибка. Например, ошибка того, кто этого бота написал или того, кто ботнетом рулит )) А это, как говорится, отсюда не видно )

Прежде чем делать далеко идущие выводы, конечно, хотелось бы увидеть более полные логи. Но из тех кусочков, которые видно сейчас, на сайт идёт 1-2 запроса в секунду, причём все IP разные. Поэтому варианты спасения тут видятся такие: 1) антиDDoS-хостинг; 2) неплохие шансы, что такую нагрузку потянет высокопроизводительный выделенный сервер; или 3) просто пережидать, пока атака закончится.

более полный лог

Как я и говорил, литовские коллеги поставили cloudflare в качестве анти DDos атак, о чем свидетельствует  IP адрес 141.101.89.173. Сервер не выдерживает, и к MySQL можно подключиться только с 10-го раза.

более полный лог

Ну тут ситуация совершенно другая.
Во-первых, не видно "родных" IP ботов, отправляющих запросы (все видимые IP из пула CLOUDFLARE - поэтому невозможно сказать, насколько реально здесь реализовать фильтрацию ботов по IP).
Во-вторых, на большинство запросов сервер даёт 200-й ответ - т.е. несуществующие адреса либо отфильтрованы на прокси-сервере, либо изменились сами запросы ботнета. Тогда это целенаправленный DDoS.
В-третьих, запросов бывает и больше 2 в секунду.

Очевидных причин проблемы кроме DDoS на первый взгляд не просматривается. На собственном сервере можно попытаться дропать "левые" пакеты в файрволе, не пропуская их к Апачу. Но и тут сразу возникает вопрос, как пакеты фильтровать. Если все посетители из нескольких известных сетей - ситуация одна, а если нет - совсем другая. Я не знаю специфику сайта, стоимость его простоя, а "мощность" атаки могу оценить очень приблизительно. Но если сайт железно нужно поднять в кратчайшие сроки и невзирая на затраты, то копать нужно в сторону анти-DDoS и специализированных хостингов.

Я так понимаю что смена хостера проблему не решит?

Я так понимаю что смена хостера проблему не решит?

нет

Всем спасибо за советы.