Форум Сайтостроение Веб-строительство

Падает VDS. Что это 42-9-133-95.pool?

12
seosniks
На сайте с 13.08.2007
Offline
389
seosniks
1022

Весь список не влазит очень большой, что за бот 42-9-133-95.pool

или это ддос? 

/ччч$ netstat

Active Internet connections

Proto Recv-Q Send-Q  Local Address          Foreign Address        (state)

tcp4       0      0  **441.http         42-9-133-95.pool.10797 ESTABLISHED

tcp4       0      0  **441.http         42-9-133-95.pool.10796 ESTABLISHED

tcp4       0    108  **441.64300        ds-89-249-18-99..http  ESTABLISHED

tcp4       0      0  **441.http         42-9-133-95.pool.10795 ESTABLISHED

tcp4       0      0  **441.http         42-9-133-95.pool.10794 ESTABLISHED

tcp4       0      0  **441.http         42-9-133-95.pool.10793 ESTABLISHED

tcp4       0      0  **441.http         42-9-133-95.pool.10792 ESTABLISHED

tcp4       0      0  **441.http         42-9-133-95.pool.10791 ESTABLISHED

tcp4       0      0  **441.http         42-9-133-95.pool.10790 ESTABLISHED

tcp4       0  33396  **441.http         42-9-133-95.pool.10789 ESTABLISHED

tcp4       0      0  **441.http         42-9-133-95.pool.10788 ESTABLISHED

tcp4       0  26365  **441.http         crawl-6c.cuil.co.38059 FIN_WAIT_1

tcp4       0      0  **441.http         42-9-133-95.pool.10787 TIME_WAIT

tcp4       0      0  **441.http         42-9-133-95.pool.10786 TIME_WAIT

tcp4       0      0  **441.http         42-9-133-95.pool.10785 TIME_WAIT

tcp4       0      0  **441.http         42-9-133-95.pool.10784 TIME_WAIT

tcp4       0      0  **441.http         42-9-133-95.pool.10783 TIME_WAIT

tcp4       0      0  **441.http         42-9-133-95.pool.10782 TIME_WAIT

tcp4       0      0  **441.http         crawl-2c.cuil.co.57281 TIME_WAIT

tcp4       0      0  **441.http         **441.64249        TIME_WAIT

tcp4       0      0  **441.http         42-9-133-95.pool.10781 TIME_WAIT

tcp4       0      0  **441.http         42-9-133-95.pool.10779 TIME_WAIT

tcp4       0      0  **441.http         42-9-133-95.pool.10780 TIME_WAIT

tcp4       0      0  **441.http         42-9-133-95.pool.10778 TIME_WAIT

tcp4       0      0  **441.http         42-9-133-95.pool.10777 TIME_WAIT

tcp4       0      0  **441.http         b3090823.crawl.y.52333 TIME_WAIT

tcp4       0      0  **441.http         42-9-133-95.pool.10776 TIME_WAIT

tcp4       0      0  **441.http         crawl-1c.cuil.co.55291 TIME_WAIT

tcp4       0      0  **441.http         crawl-9c.cuil.co.33204 TIME_WAIT

tcp4       0      0  **441.http         spider20.yandex..49444 ESTABLISHED

udp4       0      0  **441.domain       *.*                    

udp4       0      0  **441.domain       *.*                    

Active UNIX domain sockets

Address  Type   Recv-Q Send-Q    Inode     Conn     Refs  Nextref Addr

c11f65a0 stream      0      0        0 bbdbea20        0        0 /tmp/mysql.sock

bbdbea20 stream     56      0        0 c11f65a0        0        0

bf4085a0 stream      0      0        0 bd10fcf0        0        0 /tmp/mysql.sock

bd10fcf0 stream      0      0        0 bf4085a0        0        0

bd9a16c0 stream      0      0        0 c1dc37e0        0        0 /tmp/mysql.sock

c1dc37e0 stream      0      0        0 bd9a16c0        0        0

bd384a20 stream      0      0        0 c14baab0        0        0 /tmp/mysql.sock

c14baab0 stream      0      0        0 bd384a20        0        0

bbdbe360 stream      0      0        0 bd10fd80        0        0 /tmp/mysql.sock

bd10fd80 stream      0      0        0 bbdbe360        0        0

c14e07e0 stream      0      0        0 c11f6510        0        0 /tmp/mysql.sock

c11f6510 stream      0      0        0 c14e07e0        0        0

c1dc2120 stream      0      0        0 c14baa20        0        0 /tmp/mysql.sock

c14baa20 stream      0      0        0 c1dc2120        0        0

ba8c9d80 stream      0      0        0 c1784990        0        0

c1784990 stream      0      0        0 ba8c9d80        0        0

c11f6bd0 stream      0      0        0 bea0a480        0        0

bea0a480 stream      0      0        0 c11f6bd0        0        0

bf411d80 stream      0      0        0 c1740bd0        0        0

c1740bd0 stream      0      0        0 bf411d80        0        0

c17401b0 stream      0      0        0 c1740750        0        0

c1740750 stream      0      0        0 c17401b0        0        0

b974e630 stream      0      0        0 b974ee10        0        0 /tmp/mysql.sock

b974ee10 stream      0      0        0 b974e630        0        0

c1dc3990 stream      0      0 bb669bd0        0        0        0 /tmp/mysql.sock

be934000 dgram       0      0        0 bd98e7e0        0        0

bd98e7e0 dgram       0      0 bda9c7e0        0 be934000        0 /var/run/logpriv

bea685a0 dgram       0      0 bcd8ebd0        0        0        0 /var/run/log
[umka]
На сайте с 25.05.2008
Offline
456
[umka]
#1

Это обрубок имени хоста.

Mac:~ umka$ host 95.133.9.42
42.9.133.95.in-addr.arpa domain name pointer 42-9-133-95.pool.ukrtel.net.

[umka] добавил 07.05.2010 в 22:22

Возможно, кто-то грабилкой чешет по вашему сайту.

Лог в помощь!
seosniks
На сайте с 13.08.2007
Offline
389
seosniks
#2

Вот еще картинка нагрузки

команда netstat через putty секунд 20 показывала

значения 42-9-133-95.pool пока не остановилась,

раньше обычно строе 20 было а щас думаю штук 500 не меньше

[umka]
На сайте с 25.05.2008
Offline
456
[umka]
#3

смотрите лог апача, что там этот товарищ делает.

думаю, что ничего хорошего :)

[umka] добавил 07.05.2010 в 22:36

Судя по server-status, грабят сайтик.

Можно смело банить. Пока не появился клон )))

хе… много не награбят… отвалился mysql у вас )

seosniks
На сайте с 13.08.2007
Offline
389
seosniks
#4
'[umka:
;6869844']смотрите лог апача, что там этот товарищ делает.
думаю, что ничего хорошего :)

[umka] добавил 07.05.2010 в 22:36
Судя по server-status, грабят сайтик.
Можно смело банить. Пока не появился клон )))

хе… много не награбят… отвалился mysql у вас )

там база 300 метров видать хотят ее вытащить.

я доавил один адресок в акцесс

<Limit GET POST>

order allow,deny

deny from *.133.9.*

allow from all

</Limit>

вот думаю и второй домавить надобно наверное вот этот

42.9.133.95

Вот лог за пару минут набил 23 кб


95.133.9.42 - - [07/May/2010:22:53:19 +0400] "GET /index.php?name=Songs&id=14992&hash=7379 HTTP/1.1" 200 35579 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 GTB6"
95.133.9.42 - - [07/May/2010:22:53:19 +0400] "GET /index.php?name=Songs&id=15001&hash=6022 HTTP/1.1" 200 34791 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 GTB6"
95.133.9.42 - - [07/May/2010:22:53:19 +0400] "GET /index.php?name=Songs&id=14990&hash=8779 HTTP/1.1" 200 34807 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 GTB6"
95.133.9.42 - - [07/May/2010:22:53:20 +0400] "GET /index.php?name=Songs&id=15260&hash=1205 HTTP/1.1" 200 35481 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 GTB6"
95.133.9.42 - - [07/May/2010:22:53:20 +0400] "GET /index.php?name=Songs&id=15260&hash=1205 HTTP/1.1" 200 35481 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 GTB6"
95.133.9.42 - - [07/May/2010:22:53:20 +0400] "GET /index.php?name=Songs&id=15002&hash=8545 HTTP/1.1" 200 35057 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 GTB6"
95.133.9.42 - - [07/May/2010:22:53:21 +0400] "GET /index.php?name=Songs&id=15262&hash=9007 HTTP/1.1" 200 35099 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 GTB6"
95.133.9.42 - - [07/May/2010:22:53:21 +0400] "GET /index.php?name=Songs&id=15254&hash=1883 HTTP/1.1" 200 34699 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 GTB6"
95.133.9.42 - - [07/May/2010:22:53:22 +0400] "GET /index.php?name=Songs&id=15264&hash=2239 HTTP/1.1" 200 34636 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.6) Gecko/20091201 Firefox/3.5.6 GTB6"
95.133.9.42 - - [07/May/2010:22:53:22 +0400] "GET /index.php?name=Songs&id=15243&hash=2626 HTTP/1.1" 200 35585 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.6) Gecko/200912
[umka]
На сайте с 25.05.2008
Offline
456
[umka]
#5
seosniks:

deny from *.133.9.*

во-первых, вы пишете ip-адреса задом наперёд [upd] сорри, ступил ))) всё ок.

во-вторых, сразу пачками лучше не банить.

в-третьих, так как вы пишете, [upd] вы вообще ничего не отфильтруете, т.к. апач в данном случае не будет использовать "звёздочки" как wildcard-символы.

если банить пачкой, то лучше банить подсеть.

Mac:~ umka$ whois 95.133.9.42
… bla bla bla …
route: 95.132.0.0/14

— эту.

таким образом, вы избавите свой сайт от назойливых посетителей большого куска укр-телекома.

Но делать такое стоит только к случае, если те, кто парсят сайт, будут менять айпишники.

seosniks
На сайте с 13.08.2007
Offline
389
seosniks
#6

уже почти 200 кб.

Щас вырубил сайт теперь лог ошибок попер

[Fri May 7 22:56:40 2010] [error] [client 95.133.9.42] File does not exist: /home/euro/data/www/36da.ru/index.php

[Fri May 7 22:56:40 2010] [error] [client 95.133.9.42] File does not exist: /home/euro/data/www/36da.ru/index.php

[Fri May 7 22:56:40 2010] [error] [client 95.133.9.42] File does not exist: /home/euro/data/www/36da.ru/index.php

[Fri May 7 22:56:40 2010] [error] [client 95.133.9.42] File does not exist: /home/euro/data/www/36da.ru/index.php

[Fri May 7 22:56:40 2010] [error] [client 95.133.9.42] File does not exist: /home/euro/data/www/36da.ru/index.php

[Fri May 7 22:56:40 2010] [error] [client 95.133.9.42] File does not exist: /home/euro/data/www/36da.ru/index.php

[Fri May 7 22:56:40 2010] [error] [client 95.133.9.42] File does not exist: /home/euro/data/www/36da.ru/index.php

[Fri May 7 22:56:41 2010] [error] [client 216.129.119.13] File does not exist: /home/euro/data/www/36da.ru/index.php

[Fri May 7 22:56:41 2010] [error] [client 95.133.9.42] File does not exist: /home/euro/data/www/36da.ru/index.php

[Fri May 7 22:56:41 2010] [error] [client 95.133.9.42] File does not exist: /home/euro/data/www/36da.ru/index.php

[Fri May 7 22:56:41 2010] [error] [client 95.133.9.42] File does not exist: /home/euro/data/www/36da.ru/index.php

[Fri May 7 22:56:41 2010] [error] [client 95.133.9.42] File does not exist: /home/euro/data/www/36da.ru/index.php

[Fri May 7 22:56:41 2010] [error] [client 95.133.9.42] File does not exist: /home/euro/data/www/36da.ru/index.php

[Fri May 7 22:56:41 2010] [error] [client 95.133.9.42] File does not exist: /home/euro/data/www/36da.ru/index.php

[Fri May 7 22:56:41 2010] [error] [client 95.133.9.42] File does not exist: /home/euro/data/www/36da.ru/index.php

[Fri May 7 22:56:41 2010] [error] [client 95.133.9.42] File does not exist: /home/euro/data/www/36da.ru/index.php

seosniks добавил 07.05.2010 в 23:04

'[umka:
;6869968']во-первых, вы пишете ip-адреса задом наперёд.
во-вторых, сразу пачками лучше не банить.
в-третьих, так как вы пишете, [upd] вы вообще ничего не отфильтруете, т.к. апач в данном случае не будет использовать "звёздочки" как wildcard-символы.

если банить пачкой, то лучше банить подсеть.
Mac:~ umka$ whois 95.133.9.42
… bla bla bla …
route: 95.132.0.0/14
— эту.

таким образом, вы избавите свой сайт от назойливых посетителей большого куска укр-телекома.
Но делать такое стоит только к случае, если те, кто парсят сайт, будут менять айпишники.

Айпишник один этот 95.133.9.42

мне надо его как то блокировать чтоб он не мог качать.

Хотя судя по логам htacces не помог

логи за 20 минут почти 1 мб

[umka]
На сайте с 25.05.2008
Offline
456
[umka]
#7
seosniks добавил 07.05.2010 в 23:04

Айпишник один этот 95.133.9.42

мне надо его как то блокировать чтоб он не мог качать.
Хотя судя по логам htacces не помог
логи за 20 минут почти 1 мб

Вот и сделайте в .htaccess

<Files *>
Order allow,deny
Allow from all
Deny from 95.133.9.42
</Files>

BS
На сайте с 22.06.2009
Offline
73
bb-support
#8

Лучше забаньте фаерволом,

iptables -A INPUT -s 95.133.9.42 -j DROP для linux

ipfw add 1111 deny all from 95.133.9.42 to me для freebsd

RAS
На сайте с 27.11.2005
Offline
126
RAS
#9

может Вам поставить фаервол и настроить его корректно, против таких аномалий ?

Администрируем сервера, впс, вдс. Ускоряем загрузку сайтов - DLE, Word Press, Joomla, Modx... Настраиваем безопасность. Ручная чистка rootkit/malware/вирусов. (/ru/forum/867860) Разработка - shell/bash/sh/python/perl.
[umka]
На сайте с 25.05.2008
Offline
456
[umka]
#10

Ну куда вы со своими фаерволами? ))) Не видите, товарищ с трудом управляется с .htaccess )

Оно понятно, что у фаервола и возможностей в сто раз больше, и ещё ресурсы сэкономятся.

Но нельзя же пересаживаться с велосипеда сразу на Бугатти вейрон :D

12

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий