Письмо от хостера (повышение нагрузки из-за постоянного сканирования домена)

12 3
solt
На сайте с 22.04.2008
Offline
39
1956

Добрый день!

Сегодня получил от хостера письмо с содержанием:

Здравствуйте.

Нами было зафиксировано повышение нагрузки из-за постоянного сканирования домена. К сожалению, временно доступ к нему по http-протоколу пришлось закрыть.

В логе доступа наблюдается:

92.53.111.241 - - [08/Oct/2009:05:11:20 +0400] "GET /index.php?do=register HTTP/1.0" 503 569 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
217.118.83.234 - - [08/Oct/2009:05:11:20 +0400] "GET /index.php?do=register HTTP/1.0" 503 569 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
81.90.5.7 - - [08/Oct/2009:05:11:18 +0400] "GET /index.php?do=register HTTP/1.0" 200 24072 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
92.53.111.241 - - [08/Oct/2009:05:11:18 +0400] "GET /index.php?do=register HTTP/1.0" 200 24363 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
93.186.96.116 - - [08/Oct/2009:05:11:18 +0400] "GET /index.php?do=register HTTP/1.0" 200 24072 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
92.53.111.241 - - [08/Oct/2009:05:11:20 +0400] "GET /index.php?do=register HTTP/1.0" 503 569 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
93.186.96.116 - - [08/Oct/2009:05:11:20 +0400] "GET /index.php?do=register HTTP/1.0" 503 569 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
93.185.208.152 - - [08/Oct/2009:05:11:20 +0400] "GET /index.php?do=register HTTP/1.0" 503 569 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.8.1.1) Gecko/20061204 Firefox/2.0.0.1"
85.175.190.214 - - [08/Oct/2009:05:11:20 +0400] "GET /index.php?do=register HTTP/1.0" 503 569 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
81.90.5.7 - - [08/Oct/2009:05:11:21 +0400] "GET /index.php?do=register HTTP/1.0" 503 569 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322)"
92.53.111.241 - - [08/Oct/2009:05:11:21 +0400] "GET /index.php?do=register HTTP/1.0" 503 569 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
93.186.96.116 - - [08/Oct/2009:05:11:19 +0400] "GET /index.php?do=register HTTP/1.0" 200 24363 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
93.186.96.116 - - [08/Oct/2009:05:11:21 +0400] "GET /index.php?do=register HTTP/1.0" 503 569 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"
92.53.111.241 - - [08/Oct/2009:05:11:19 +0400] "GET /index.php?do=register HTTP/1.0" 200 24072 "-" "Opera/9.02 (Windows NT 5.1; U; ru)"

Были интенсивные обращения к домену:

PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
24986 a21580_1 18 0 20584 6016 4184 R 2.0 0.2 0:00.01 php
24991 a21580_1 17 0 13660 3600 2744 R 2.0 0.1 0:00.01 php
24998 a21580_1 17 0 20096 6016 4184 R 18.9 0.2 0:00.02 php
24991 a21580_1 16 0 20284 7044 4828 D 9.4 0.2 0:00.02 php
24996 a21580_1 17 0 21160 6068 4216 R 9.4 0.2 0:00.02 php
24997 a21580_1 18 0 14780 3632 2760 R 9.4 0.1 0:00.01 php
24999 a21580_1 17 0 18740 4404 3196 R 9.4 0.1 0:00.01 php
24990 a21580_1 18 0 12512 3324 2548 R 18.2 0.1 0:00.02 php
24987 a21580_1 18 0 21112 6036 4196 R 9.1 0.2 0:00.01 php
24999 a21580_1 17 0 20964 7044 4828 D 9.1 0.2 0:00.02 php

Рекомендуем проанализировать ситуацию, возможно заблокировать несколько адресов через .htaccess.

Евгений Яблоков
дежурный администратор

С этим сталкиваюсь в первые, подскажите что делать, где копать, кого блокировать через .htaccess и с кем бороться, что бы в дальнейшем такого не было???

Движок сайта DLE, хостер McHost.ru (тариф «профессиональный») – посещаемость 400-500 уников в день. Не каких модулей на движке не установлено.

П.С. Из этого текста понял только одно – что запрос шел на страницу регистрации, а все остальное для меня «темный лес», кому не сложно растолкуйте, пожалуйста.

VA
На сайте с 10.04.2006
Offline
73
#1

Попросите хостера сообщить Вам, с каких IP-адресов наиболее часто шли обращения к сайту в момент "сканирования". Проверьте нет ли среди этих IP-адресов Вашего собственного, если есть - удалите его из списка.

Попросите хостера заблокировать IP-адреса из этого списка с помощью iptables, аргументировав просьбу тем, что при блокировке через .htaccess запросы к apache с этих адресов все равно будут доходить и обрабатываться apache, создавая лишнюю нагрузку.

Виктор Симон. (http://webxl.ru)
solt
На сайте с 22.04.2008
Offline
39
#2

Написал хостеру, получил ответ:

К сожалению, временно мы вынуждены заблокировать этот домен. Активировать его можно будет к вечеру, для проверки.
ip-адресов несколько, поэтому вручную блокировать каждый может быть неудобным. По всей видимости, в данном случае имеет место бы DDoS на домен, так как user-agent не сообщает, что это роботы поисковых систем (либо это роботы с поддельным user-agent). запрашивается постоянно /index.php?do=register
Обатитесь, пожалуйста, к нам около 20-21 часов по Москве, активируем на проверку домен.

П.С. Вопрос: как с этим бороться? или все это только зависит от хостера.

VictorAS спасибо за ответ.

Snapius
На сайте с 29.10.2007
Offline
241
#3

solt, на Ваш сайт идет ДДос атака(HTTP флуд) это видно по логу.

Вам можно сделать проще - на эту ссылку - index.php?do=register поставить пустую страницу и тогда флуд если он не мощный не будет заметно, будет отдаваться кешированная страница.

Греческая натуральная косметика (https://www.rizescrete.ru)
Dweep
На сайте с 11.12.2006
Offline
207
#4

По моему ваш сайт, как и тысячи других сайтов на ДЛЕ и прочих движках просто спамят боты, для того что б запостить пост со ссылкой на свой сайт.

То есть бот регистрируется, постит пост или новость, и переходит к следующему сайту. Так как спамеров существует много - всех не перебанишь. Очень сомневаюсь что эти спамеры создают прям таки критичную нагрузку, думаю просто хостер нашел к чему придраться.

Snapius
На сайте с 29.10.2007
Offline
241
#5
Dweep:
Очень сомневаюсь что эти спамеры создают прям таки критичную нагрузку, думаю просто хостер нашел к чему придраться.

Вы не правы.

У нас тоже не давно была Ддос атака по такой же схеме, мы просто поставили пустую страницу, она откешировалась и от атаки было уже не то что в начале.

BR
На сайте с 28.06.2008
Offline
75
#6
solt:
Рекомендуем проанализировать ситуацию, возможно заблокировать несколько адресов через .htaccess.
solt:
ip-адресов несколько, поэтому вручную блокировать каждый может быть неудобным.

- в переводе на русский язык это означает, что надо заблокировать доступ к сайту с тех ip-адресов которые хостер привел в фрагменте лога, но хостеру в падлу это делать с помощью iptables, поэтому он просит Вас разместить на своем сайте (хостеру также впадлу привести образец чего надо разместить) .htaccess с соответствующими директивами: Deny Directive

размещение сайтов (http://www.brim.ru)
Snapius
На сайте с 29.10.2007
Offline
241
#7

Brim.ru, может быть такая ситуация что долбят Вас с 5 IPов, блокируешь их и тут на тебе еще 5 IPов вылезло бы и так постоянно, пройдено, проще статику отдавать.

Free_head
На сайте с 06.03.2007
Offline
123
#8

Ребят, вы хотя бы осмотрели на лог

/index.php?do=register - это я так понимаю страничка регистрации.

а то что, запросы происходят несколько раз в секунду - это явно ненормально. Так как запросы составлены правильно и подставляют даже параметры браузера и операционки не позваляет провайдеру сенсорить и брокировать их.

Тоесть в данном случае защита сайта - это обязанность пользователя.

Имеет смысл:

1. Попросить у прова полный лог за время атак.

2. Проанализироать его и составить стоп-лист айпишников.

3. Добавить стоп-лист в .htaccess или лучше всего сделать в коде небольшо проверку

Не верю, не боюсь, не прошу.
BR
На сайте с 28.06.2008
Offline
75
#9
Snapius:
Brim.ru, может быть такая ситуация что долбят Вас с 5 IPов, блокируешь их и тут на тебе еще 5 IPов вылезло бы и так постоянно, пройдено, проще статику отдавать.

- конечно может, но хостеру видней иначе зачем бы суппорт предлагал использовать .htaccess? В любом случае ТС-у стоит более плотно общаться со своим суппортом ;)

Snapius
На сайте с 29.10.2007
Offline
241
#10

Brim.ru, ну то что хостер никаким боком не захотел помогать - конечно не айс.

Просто если натиск большой, то и сайт могут отключить временно.

12 3

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий