Что за атака и для чего?

123 4
I
На сайте с 22.10.2012
Offline
74
2968

Подскажите, кто в теме, есть ИМ, последние пару месяцев стабильно раз в неделю на него насылают что-то вроде DDos по схеме:

300-400 тыс. обращений с разных IP за примерно 5 минут, потом перерыв ровно 70 минут и все заново и так сутки - двое, потом тишина. через неделю опять.

Сервак конечно подвисает от атаки но не надолго, яндекс и гугл не успевают словить 503 ошибки, но заметил другой эффект- в метрике и аналитиксе пропадает полностью источник трафика из поисковых сиситем, а весь трафик засчитывается как внутренние переходы. Отсюда вопросы:

1. Почему так происходит что поисковик начинает путать источник трафика?

2. Нафига это кому-то надо

3. В день бывает до 35 млн обращений, вряд ли это бесплатное боловство, кто-то значит целенаправленно тратит на это деньги чтоб нагадить?

Всем заранее спасибо!!!

MK
На сайте с 14.04.2009
Offline
104
#1

Может парсят?

Продвижение сайтов (https://nsk-seo.ru/) в Яндекс и Гугл.
I
На сайте с 22.10.2012
Offline
74
#2
MaxKis:
Может парсят?

Не похоже, судя по логам большинство запросов идёт или на морду сайта или на неё же с каким-то параметром, не имеющим отношения к сайту. Да и страниц на сайте где-то 3-4 тыс, а запросов в сутки до 35 млн доходит и трафик 30-40Гб (при размере сайта около 4)

SerG757
На сайте с 07.02.2010
Offline
86
#3
iSmel:
Не похоже, судя по логам большинство запросов идёт или на морду сайта или на неё же с каким-то параметром, не имеющим отношения к сайту. Да и страниц на сайте где-то 3-4 тыс, а запросов в сутки до 35 млн доходит и трафик 30-40Гб (при размере сайта около 4)

Если сайт ранее взломан, get запросом могут давать задание. Какое угодно, от подсчёта битков до ddos атаки другого сайта. Или напротив, щупают какой из get параметров приведёт к результату, взлому.

Что-нибудь в духе странных модулей, нуленых тем, нуленых cms, и т.д. ставили на сайты текущего пользователя хостинга?

Я бы попытался покопать в сторону активности скриптов в момент атаки, исходящие соединения, активность почтовых служб, и так далее.

Оптимизатор - от слова ОПТИМИСТ. Как неизлечимый яндексоид, вам говорю...
I
На сайте с 22.10.2012
Offline
74
#4
SerG757:
Если сайт ранее взломан, get запросом могут давать задание. Какое угодно, от подсчёта битков до ddos атаки другого сайта. Или напротив, щупают какой из get параметров приведёт к результату, взлому.

Что-нибудь в духе странных модулей, нуленых тем, нуленых cms, и т.д. ставили на сайты текущего пользователя хостинга?
.

Нет, стоит лицензия битрикс, официальный шаблон, пара модулей, но все официально куплены в маркетплейсе... недоброжелателей хватает, некоторые даже пытались через консультант угрожать что на сайте они мне шелл поставили каким-то образом, но не верится особо..

Из непонятных параметров например: /?XDEBUG_SESSION_START=phpstorm

или вроде таких: /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP

SerG757
На сайте с 07.02.2010
Offline
86
#5
iSmel:
Нет, стоит лицензия битрикс, официальный шаблон, пара модулей, но все официально куплены в маркетплейсе... недоброжелателей хватает, некоторые даже пытались через консультант угрожать что на сайте они мне шелл поставили каким-то образом, но не верится особо..
Из непонятных параметров например: /?XDEBUG_SESSION_START=phpstorm
или вроде таких: /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP

Пытаются взломать, ну или достучаться до каких-то данных. Может быть даже таким образом получается получить данные. Например - учётки пользователей.

iSmel:
или вроде таких: /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP

Ябзапараноил.

I
На сайте с 22.10.2012
Offline
74
#6
SerG757:
Пытаются взломать, ну или достучаться до каких-то данных. Может быть даже таким образом получается получить данные. Например - учётки пользователей.


Ябзапараноил.

Начинаю реально пораноить ) А что делать? Как оценить масштаб угроз или перехватить данные которые пытаются слямзить? Или это не реально?

bruder
На сайте с 03.02.2015
Offline
196
#7
iSmel:
Из непонятных параметров например: /?XDEBUG_SESSION_START=phpstorm
или вроде таких: /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP

Это разные эксплойты. Похоже сканер запустили... и почему-то не отключили.

Снимаем обалденный сериал, изобличающий Яндекс: Хрень - украдется все. (https://hrentv.com)
fliger
На сайте с 17.09.2015
Offline
69
#8

Смотрите, кому принадлежат IP. Скорее всего - хостерам, поэтому блокируйте эти сети целиком.

iSmel:
с каким-то параметром, не имеющим отношения к сайту

На такие параметры нужно отдавать 403 ошибку (без страницы ошибки, коротким текстом типа "Forbidden").

SerG757
На сайте с 07.02.2010
Offline
86
#9
iSmel:
Начинаю реально пораноить ) А что делать? Как оценить масштаб угроз или перехватить данные которые пытаются слямзить? Или это не реально?

Очень хороший совет от fliger. От себя добавлю, можно попробовать выбрать характерные get параметры которые 100% не могут быть связаны с штатной работой сайта, и запретить в .htaccess. А дальше нанимать спецов по безопасности, что-то на сервере нужно пообновлять. И проверить его серверным антивирусом.

---------- Добавлено 04.03.2020 в 11:18 ----------

И сразу скачать бекап на период до атак. На всякий случай. Если он конечно остался.

foxi
На сайте с 02.03.2011
Offline
880
#10

скорее всего чекают на уязвимости.

Антибот защита для сайта (https://antibot.cloud/ru.html#searchengines) (защита от кражи контента и спама) | ВебМастерские микроблоги (https://wmsn.biz/#searchengines) | Фокси SEO форум (https://foxi.biz/#searchengines)
123 4

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий