Злодеи ддосили сайт

МА
На сайте с 02.11.2018
Offline
63
1337

В этом ничего не понимаю, у знакомого ддосили сайт (региональный новостной сайт), попросил мнение спецов. Короче, мопед не мой, я просто разместил объяву.

Мне нужно мнение о том, насколько сильной была атака.

Статистика примерно такая: 180 тысяч запросов на главную страницу за 5 минут.

80% запросов пришло с юзер-агентом типа "WordPress/<версия вордпресс> <адрес сайта>". Для большей части из них, но далеко не для всех, ещё и приписка "verifying pingback from <чей-то айпишник>".

Всего уникальных адресов сайтов около 150, 170 уникальных ip. В пингбеках уникальных айпишников всего чуть больше 40.

Вперемежку также шли запросы с нормальными браузерными юзер-агентами - 20% от общего количества запросов и 1300 уникальных ip.

Так же почти три десятка запросов с юзер-агентом "ConBot" с одинакового айпишника 184.168.27.80. Вероятно, это какой-то тестовый бот сервиса, который смотрит, навернулся сайт или ещё нет. Погуглил, нихрена про это не нашел.

В общем интересно мнение, что это вообще могло быть.

Я человек малообразованный, для меня ddos, это шоб сайт упал и лежал максимально долго. Какие ещё могут быть цели у такой атаки? Почему всего 5 минут? Возможно, конечно, что за эти пять минут хостер так анально огородился, что продолжать смысла уже не было. Но по логам, к которым у меня есть доступ, почти секунда в секунду пять минут. Похоже, что так и планировалось.

По идее должны были быть ссылки с параметрами, чтобы сервер не отдавал кэш, а генерировал страницу каждый раз. Но нет, все запросы без параметров. Он у меня при такой нагрузке на недорогом шареде с полминуты работал прежде чем навернуться.

У меня стойкое ощущение, что атаку делал какой-то ламбух или цель была не положить сайт. За ламбуха говорит то, что почти сразу после начала атаки была запущена проверка сайта на доступность на сервисе check-host.net У меня даже ссылка на отчет есть. Непричастный вряд ли бы запустил тест так быстро, тем более что между падением сервера и первым тестовым запросом прошло около 10 секунд. А умный бы так не палился.

Последний вопрос, может у кого опыт есть, стоит ли пытаться просить в сервисе данные потенциального злодея? Как это правильно сделать, чтоб не послали?

Всем заранее спасибо.

Nokia x71 (https://x71.ru/) - хороший смартфон, и отзывы интересные
HM
На сайте с 14.01.2012
Offline
211
#1

Это не ddos. Но ему конечно виднее :)

МА
На сайте с 02.11.2018
Offline
63
#2
hakuna matata:
Это не ddos. Но ему конечно виднее :)

А что тогда?

D
На сайте с 28.06.2008
Offline
980
#3

600 запросов в сек. - ддос :)))))))))))

Это рабочий трафик сайта с посещаемостью порядка 50.000 юзеров в день

Кто -то тестировал свой ботнет на первом попавшемся сайте и это был ваш сайт.

МА
На сайте с 02.11.2018
Offline
63
#4
Dram:
600 запросов в сек. - ддос :)))))))))))
Это рабочий трафик сайта с посещаемостью порядка 50.000 юзеров в день
Кто -то тестировал свой ботнет на первом попавшемся сайте и это был ваш сайт.

То есть скорей всего злого умысла не было, а просто под руку подвернулся типа?

SyS Admin KxK
На сайте с 30.01.2005
Offline
987
#5

Махмуд Аббас, Самый лёгкий вид доса от школотищи

Купить вечный впс (https://ddosov.net/lifetime-vds)
Glueon
На сайте с 26.07.2013
Offline
172
#6

Сложно назвать это досом :) Но дело известное, называется атакой пингбэками (pingback attack). Самый просто вариант - было заряжено что-то типа Хрумера и размещены ссылки в статьях на сайт жертвы на н-ом количестве блогов, далее уведомления с доноров пошли на блог жертвы и каждый раз начиналась загрузка статьи блогом жертвы (независимо от ее размера), в которой была ссылка.

Дальше больше :) Веселый вариант схемы заключается в отсылке поддельных пингбэков на н-ое количество блогов (в этом случае запрос идет якобы от блога жертвы о размещенной ссылки в статье, которой на самом деле нет), после этого все эти блоги начинают посылать запрос на блог жертвы в попытке скачать статью (reflection). При этом запрос мы можем слать от реально существующей и большой статьи, где якобы есть ссылка. Поэтому каждый раз эта большая статья будет скачиваться блогом, которому пришел пингбэк (amplification).

Атака довольно примитивная и на пакетном уровне блокируется весьма просто. Во-первых, везде будет общий User-Agent (Wordpress), во-вторых, каждый раз в заголовок будет вставляться “X-Pingback-Forwarded-For”. Просто блокируем эти пакеты.

Можно в принципе вырубить механизм пингбэков (XML-RPC). Вставьте данный код в .htaccess:

<Files xmlrpc.php>
Order Deny,Allow
Deny from all
</Files>

Ну или еще проще, воспользоваться плагином: https://wordpress.org/plugins/disable-xml-rpc-pingback/

Есть много IP-сетей в аренду под прокси, парсинг, рассылки (optin), vpn и хостинг. Телега: @contactroot ⚒ ContactRoot команда опытных сисадминов (/ru/forum/861038), свой LIR: сдаем в аренду сети IPv4/v6 (/ru/forum/1012475).
foxi
На сайте с 02.03.2011
Offline
877
#7

Юзерагент Wordpress забанить, он не нужеен.

Антибот защита для сайта (https://antibot.cloud/ru.html#searchengines) (защита от кражи контента и спама) | ВебМастерские микроблоги (https://wmsn.biz/#searchengines) | Фокси SEO форум (https://foxi.biz/#searchengines)
Оптимизайка
На сайте с 11.03.2012
Offline
396
#8
foxi:
Юзерагент Wordpress забанить, он не нужеен.

Если в Wordpress используется функционал отложенных публикаций, то WP-шный крон делает это с юзерагентом Wordpress, так что если просто так по юзерагенту забанить, то отвалится это. Более умно надо банить, с учётом IP или др. признаков.

⭐ BotGuard (https://botguard.net) ⭐ — защита вашего сайта от вредоносных ботов, воровства контента, клонирования, спама и хакерских атак!
cloud-shield
На сайте с 25.01.2017
Offline
42
#9

Да, это одна из простых, распространенных и довольно старых видов ддос атак.

Махмуд Аббас:
Какие ещё могут быть цели у такой атаки?

Ситуации бывают разные, но некоторым сайтам хватает и коротких атак.

Защита сайтов, vps и дедиков от DDoS атак - Cloud-Shield.ru (https://cloud-shield.ru)

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий