- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Все что нужно знать о DDоS-атаках грамотному менеджеру
И как реагировать на "пожар", когда неизвестно, где хранятся "огнетушители
Антон Никонов
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Посмотрел по логу, там вообще странные вещи, вот какие запросы идут, это не подряд, а в разное время я просто выбрал:
77-88-5-64.spider.yandex.com - - [22/Mar/2020:10:46:20 +0200] "GET /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:61.0) Gecko/20100101 Firefox/61.0"
77-88-5-124.spider.yandex.com - - [22/Mar/2020:10:46:32 +0200] "POST /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/42.0.2623.110 Safari/537.36"
ip-54-36-150-132.a.ahrefs.com - - [22/Mar/2020:10:44:22 +0200] "POST /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2623.110 Safari/537.36"
ip-54-36-150-132.a.ahrefs.com - - [22/Mar/2020:10:44:22 +0200] "POST /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2623.110 Safari/537.36"
ip-54-36-150-132.a.ahrefs.com - - [22/Mar/2020:10:44:23 +0200] "GET /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (X11; Linux x86_64; rv:56.0) Gecko/20100101 Firefox/56.0.4 Waterfox/56.0.4"
140.85.188.35.bc.googleusercontent.com - - [22/Mar/2020:10:45:24 +0200] "POST /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2623.110 Safari/537.36"
140.85.188.35.bc.googleusercontent.com - - [22/Mar/2020:10:45:25 +0200] "GET /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Android 5.1.1; Mobile; rv:59.0) Gecko/59.0 Firefox/59.0"
115.188.66.34.bc.googleusercontent.com - - [22/Mar/2020:10:45:44 +0200] "POST /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2623.110 Safari/537.36"
115.188.66.34.bc.googleusercontent.com - - [22/Mar/2020:10:45:45 +0200] "GET /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/61.0.3200.0 Iron Safari/537.36 Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/62.0.3202.62 Safari/537.36"
198-46-177-44-host.colocrossing.com - - [22/Mar/2020:11:00:55 +0200] "POST /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/47.0.2623.110 Safari/537.36"
198-46-177-44-host.colocrossing.com - - [22/Mar/2020:11:00:55 +0200] "GET /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.47 Safari/537.36"
35.193.92.197 - - [22/Mar/2020:11:06:23 +0200] "POST /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/52.0.2623.110 Safari/537.36"
35.193.92.197 - - [22/Mar/2020:11:06:23 +0200] "GET /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:60.0) Gecko/20100101 Firefox/60.0,gzip(gfe)"
35.238.171.200 - - [22/Mar/2020:11:06:26 +0200] "POST /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:58.0) Gecko/20100101 Firefox/58.0"
35.238.171.200 - - [22/Mar/2020:11:06:26 +0200] "GET /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Linux; Android 8.1.0; 6062W) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.157 Mobile Safari/537.36"
ec2-34-235-163-229.compute-1.amazonaws.com - - [22/Mar/2020:11:14:48 +0200] "POST /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2623.110 Safari/537.36"
ec2-34-235-163-229.compute-1.amazonaws.com - - [22/Mar/2020:11:14:48 +0200] "GET /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Android 8.0.0; Mobile; rv:62.0) Gecko/62.0 Firefox/62.0"
node31.ndxdev.org - - [22/Mar/2020:11:23:10 +0200] "POST /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/46.0.2623.110 Safari/537.36"
node31.ndxdev.org - - [22/Mar/2020:11:23:10 +0200] "GET /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) coc_coc_browser/64.4.146 Chrome/58.4.3029.146 Safari/537.36"
35.225.201.25 - - [22/Mar/2020:11:30:23 +0200] "GET /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:52.0) Gecko/20100101 Firefox/52.0.1 Waterfox/52.0.1"
35.193.16.132 - - [22/Mar/2020:11:31:01 +0200] "POST /index.php?do=search HTTP/1.1" 403 211 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2623.110 Safari/537.36"
Вопрос такой, это ддос? Почему они все обращаются к /index.php?do=search и почему они все перекрыты в 403? Получается все эти ip попадают в диапазон, который давали тут и который я перекрыл?
Получается бессмысленно по bc.googleusercontent.com закрывать?
Именно так. Кто-то просто играется с названиями хостов, вы точно apache перезагружали, когда HostnameLookups off сделали?
Возможно вам нужно поменять формат логов:
http://httpd.apache.org/docs/current/mod/mod_log_config.html
Прописать вместо хоста, чтобы именно записывался IP
Кто-то просто играется с названиями хостов,
Как кто-то может играться, если имя хоста сам апач определяет?
Апач перезагружал конечно.
Как кто-то может играться, если имя хоста сам апач определяет?
Апач перезагружал конечно.
А определение ему передаётся из глубин космоса :D
А определение ему передаётся из глубин космоса
А если серьезно, как он определяет хост? Как кто-то на это может повлиять?
if (!isset($_SERVER['HTTP_REFERER']) && isset($_REQUEST['do'])) exit;
?>
🙄
SocFishing, что это за код и как он мне поможет?
Если отсутствует ['HTTP_REFERER'], то есть, если клиент перешел на сайт не с какой-то страницы, а например набрал адрес в браузере, то его выбросит?
А и еще если в запросе ['do'] есть... Все равно что-то не то.
Vitaly2012, 140.85.188.35.bc.googleusercontent.com - Это Gcloud можно банить по /24
colocrossing.com - можно банить всю ASN источник дерьма...
.amazonaws.com - баньте все их ASN рассадник мусора
.ndxdev.org и .ahrefs.com аналогично
От бана вышеназванного мусора, Вы ничего не потеряете...
kxk, посмотрите на лог, всем этим адресам уже отдается ответ 403, т.е. они уже забанены и забанены судя по всему списком который давали тут и который я уже перекрыл. Просто каким-то образом происходит подмена хоста. Иначе я не могу это объяснить.
Vitaly2012, 140.85.188.35.bc.googleusercontent.com - Это Gcloud можно банить по /24
colocrossing.com - можно банить всю ASN источник дерьма...
.amazonaws.com - баньте все их ASN рассадник мусора
.ndxdev.org и .ahrefs.com аналогично
От бана вышеназванного мусора, Вы ничего не потеряете...
Не, они просто скорее всего PTR меняют: https://cloud.google.com/compute/docs/instances/create-ptr-record
Поэтому это фиктивные хосты. Из-за этого я и говорю, что нужно логи апатча поправить и сделать хотя бы в скобочках выводить IP реальный, а не хост.