Что за атака и для чего?

123 4
I
На сайте с 22.10.2012
Offline
80
3246

Подскажите, кто в теме, есть ИМ, последние пару месяцев стабильно раз в неделю на него насылают что-то вроде DDos по схеме:

300-400 тыс. обращений с разных IP за примерно 5 минут, потом перерыв ровно 70 минут и все заново и так сутки - двое, потом тишина. через неделю опять.

Сервак конечно подвисает от атаки но не надолго, яндекс и гугл не успевают словить 503 ошибки, но заметил другой эффект- в метрике и аналитиксе пропадает полностью источник трафика из поисковых сиситем, а весь трафик засчитывается как внутренние переходы. Отсюда вопросы:

1. Почему так происходит что поисковик начинает путать источник трафика?

2. Нафига это кому-то надо

3. В день бывает до 35 млн обращений, вряд ли это бесплатное боловство, кто-то значит целенаправленно тратит на это деньги чтоб нагадить?

Всем заранее спасибо!!!

Единственный хостинг, который предоставляет защиту от DDoS вплоть до L7, а не L3-L4 всего за 450 руб: https://adminvps.ru/vps/vps_russia.php?aff=17004
MK
На сайте с 14.04.2009
Offline
104
#1

Может парсят?

Продвижение сайтов (https://nsk-seo.ru/) в Яндекс и Гугл.
I
На сайте с 22.10.2012
Offline
80
#2
MaxKis:
Может парсят?

Не похоже, судя по логам большинство запросов идёт или на морду сайта или на неё же с каким-то параметром, не имеющим отношения к сайту. Да и страниц на сайте где-то 3-4 тыс, а запросов в сутки до 35 млн доходит и трафик 30-40Гб (при размере сайта около 4)

SerG757
На сайте с 07.02.2010
Offline
98
#3
iSmel:
Не похоже, судя по логам большинство запросов идёт или на морду сайта или на неё же с каким-то параметром, не имеющим отношения к сайту. Да и страниц на сайте где-то 3-4 тыс, а запросов в сутки до 35 млн доходит и трафик 30-40Гб (при размере сайта около 4)

Если сайт ранее взломан, get запросом могут давать задание. Какое угодно, от подсчёта битков до ddos атаки другого сайта. Или напротив, щупают какой из get параметров приведёт к результату, взлому.

Что-нибудь в духе странных модулей, нуленых тем, нуленых cms, и т.д. ставили на сайты текущего пользователя хостинга?

Я бы попытался покопать в сторону активности скриптов в момент атаки, исходящие соединения, активность почтовых служб, и так далее.

Оптимизатор - от слова ОПТИМИСТ. Как неизлечимый яндексоид, вам говорю...
I
На сайте с 22.10.2012
Offline
80
#4
SerG757:
Если сайт ранее взломан, get запросом могут давать задание. Какое угодно, от подсчёта битков до ddos атаки другого сайта. Или напротив, щупают какой из get параметров приведёт к результату, взлому.

Что-нибудь в духе странных модулей, нуленых тем, нуленых cms, и т.д. ставили на сайты текущего пользователя хостинга?
.

Нет, стоит лицензия битрикс, официальный шаблон, пара модулей, но все официально куплены в маркетплейсе... недоброжелателей хватает, некоторые даже пытались через консультант угрожать что на сайте они мне шелл поставили каким-то образом, но не верится особо..

Из непонятных параметров например: /?XDEBUG_SESSION_START=phpstorm

или вроде таких: /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP

SerG757
На сайте с 07.02.2010
Offline
98
#5
iSmel:
Нет, стоит лицензия битрикс, официальный шаблон, пара модулей, но все официально куплены в маркетплейсе... недоброжелателей хватает, некоторые даже пытались через консультант угрожать что на сайте они мне шелл поставили каким-то образом, но не верится особо..
Из непонятных параметров например: /?XDEBUG_SESSION_START=phpstorm
или вроде таких: /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP

Пытаются взломать, ну или достучаться до каких-то данных. Может быть даже таким образом получается получить данные. Например - учётки пользователей.

iSmel:
или вроде таких: /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP

Ябзапараноил.

I
На сайте с 22.10.2012
Offline
80
#6
SerG757:
Пытаются взломать, ну или достучаться до каких-то данных. Может быть даже таким образом получается получить данные. Например - учётки пользователей.


Ябзапараноил.

Начинаю реально пораноить ) А что делать? Как оценить масштаб угроз или перехватить данные которые пытаются слямзить? Или это не реально?

bruder
На сайте с 03.02.2015
Offline
199
#7
iSmel:
Из непонятных параметров например: /?XDEBUG_SESSION_START=phpstorm
или вроде таких: /index.php?s=/Index/\think\app/invokefunction&function=call_user_func_array&vars[0]=md5&vars[1][]=HelloThinkPHP

Это разные эксплойты. Похоже сканер запустили... и почему-то не отключили.

fliger
На сайте с 17.09.2015
Offline
84
#8

Смотрите, кому принадлежат IP. Скорее всего - хостерам, поэтому блокируйте эти сети целиком.

iSmel:
с каким-то параметром, не имеющим отношения к сайту

На такие параметры нужно отдавать 403 ошибку (без страницы ошибки, коротким текстом типа "Forbidden").

SerG757
На сайте с 07.02.2010
Offline
98
#9
iSmel:
Начинаю реально пораноить ) А что делать? Как оценить масштаб угроз или перехватить данные которые пытаются слямзить? Или это не реально?

Очень хороший совет от fliger. От себя добавлю, можно попробовать выбрать характерные get параметры которые 100% не могут быть связаны с штатной работой сайта, и запретить в .htaccess. А дальше нанимать спецов по безопасности, что-то на сервере нужно пообновлять. И проверить его серверным антивирусом.

---------- Добавлено 04.03.2020 в 11:18 ----------

И сразу скачать бекап на период до атак. На всякий случай. Если он конечно остался.

Mik Foxi
На сайте с 02.03.2011
Offline
972
#10

скорее всего чекают на уязвимости.

Антибот, антиспам, веб файрвол, защита от накрутки поведенческих: https://antibot.cloud/ru.html
123 4

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий