Форум Сайтостроение Хостинг

Досят сайт, что делать?

1 2345
sappi
На сайте с 11.11.2009
Offline
28
sappi
#31
neznaika:
И чего? :) это ддос?

Были даны логи, содержание которых я так подразумеваю IP адреса атакующих ботов. Логи иного же содержания клиенту в данном случае и незачем. Пусть TC покажет пару строчек из предоставленного лога, тогда все станет на свои места.

neznaika
На сайте с 28.06.2006
Offline
356
neznaika
#32
sappi:
Пусть TC покажет пару строчек из предоставленного лога, тогда все станет на свои места.

Вот-вот, очень своевременно, до объявления диагноза, а то весь топ уже исписан.

Дорого покупаю настоящие сайты. Не инвестирую деньги и не беру кредиты.
S5
На сайте с 18.02.2010
Offline
14
serv5msk
#33

Можно на время атаки в параметрах DNS A-запись сайта направить на 127.0.0.1 или на Google :).

cscope
На сайте с 13.02.2005
Offline
525
cscope
#34
sappi:

TC: Кстати, чтобы избежать проблем с почтой в будущем при подобных ситуациях, используйте Google Apps. вместо хостинга почты на серверах хостинг-компаний. http://www.google.com/apps/intl/ru/group/index.html

Да,про это давно знаю, хотя в основном ленюсь настраивать.

sappi, я вам отправил весь этот файл, посмотрите плз, а то я даже не пойму, что там и зачем :)

sappi
На сайте с 11.11.2009
Offline
28
sappi
#35
cscope:
Да,про это давно знаю, хотя в основном ленюсь настраивать.

sappi, я вам отправил весь этот файл, посмотрите плз, а то я даже не пойму, что там и зачем :)

Если весь лог касается именно вашего сайта, то в промежуток с

31/May/2010:17:26:21 +0400

до

31/May/2010:17:26:38 +0400

К вашему сайту соединялись боты как минимум с 150+ различных IP.

Небольшой кусочек лога (взята приблизительно 1/8 часть лога только за 17:26:37): 

93.183.194.99 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7"

92.124.181.111 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Opera/9.64 (Windows NT 5.1; U; ru) Presto/2.1.1"

92.112.116.136 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.10"

94.19.72.31 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.17) Gecko/2009122116 Firefox/3.0.17"

94.179.192.4 - - [31/May/2010:17:26:37 +0400] "GET /cgi-sys/suspendedpage.cgi HTTP/1.0" 200 2416 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Win32; Trident/4.0)"

77.238.131.130 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.10"

91.145.194.218 - - [31/May/2010:17:26:37 +0400] "GET /cgi-sys/suspendedpage.cgi HTTP/1.0" 200 2416 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Win32)"

91.205.168.18 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Win32; Trident/4.0)"

95.110.22.189 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Win32)"

77.238.131.131 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.10"

92.124.181.111 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Opera/9.64 (Windows NT 5.1; U; ru) Presto/2.1.1"

93.125.77.13 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.17) Gecko/2009122116 Firefox/3.0.17"

94.19.72.31 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.17) Gecko/2009122116 Firefox/3.0.17"

195.78.246.11 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Win32; Trident/4.0)"

217.19.126.108 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.00"
Как часто гугл меняет Резкий всплеск прямых заходов. На 8 марта пользователи
[Удален]
#36

короче, есть одна оооочень крупня контора хостинговая .

Ну и соответственно - решили они денег на железяки антиддосные потратить и рассказать об этом нескольким клиентам, для которых ДДОС, это раносильно тому, что гугловый робот по сайтам пробежался - то есть часто очень.

Ну этото клиент - растрезвонил всем об этом - и выхватывает себе ещё сильней ДДОС - типа на проверочку железу.

вот такие вот пироги с котятами ;)

Интересно увидеть МРТГ, а то у меня есть клиенты, к которым в апач за час лям+ запросов приходит (судя по логам) - да - кушает ресы - но если потанцевать немного вокруг него - то всё кашаладно работает ;)

coolvds добавил 03.06.2010 в 00:28

sappi:
Если весь лог касается именно вашего сайта, то в промежуток с
31/May/2010:17:26:21 +0400
до
31/May/2010:17:26:38 +0400
К вашему сайту соединялись боты как минимум с 150+ различных IP.

Небольшой кусочек лога (взята приблизительно 1/8 часть лога только за 17:26:37): 
93.183.194.99 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.1.7) Gecko/20091221 Firefox/3.5.7"

92.124.181.111 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Opera/9.64 (Windows NT 5.1; U; ru) Presto/2.1.1"

92.112.116.136 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.10"

94.19.72.31 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.17) Gecko/2009122116 Firefox/3.0.17"

94.179.192.4 - - [31/May/2010:17:26:37 +0400] "GET /cgi-sys/suspendedpage.cgi HTTP/1.0" 200 2416 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Win32; Trident/4.0)"

77.238.131.130 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.10"

91.145.194.218 - - [31/May/2010:17:26:37 +0400] "GET /cgi-sys/suspendedpage.cgi HTTP/1.0" 200 2416 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Win32)"

91.205.168.18 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Win32; Trident/4.0)"

95.110.22.189 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Win32)"

77.238.131.131 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.10"

92.124.181.111 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Opera/9.64 (Windows NT 5.1; U; ru) Presto/2.1.1"

93.125.77.13 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.17) Gecko/2009122116 Firefox/3.0.17"

94.19.72.31 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.17) Gecko/2009122116 Firefox/3.0.17"

195.78.246.11 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Win32; Trident/4.0)"

217.19.126.108 - - [31/May/2010:17:26:37 +0400] "GET / HTTP/1.0" 302 230 "-" "Opera/9.80 (Windows NT 5.1; U; ru) Presto/2.2.15 Version/10.00"

теперь верю ;)

sappi
На сайте с 11.11.2009
Offline
28
sappi
#37

Ну в общем как я и предположил выше, лог оказался легитимным доказательством. Не думаю, что хостер стал бы давать клиенту логи, в которых были бы написаны анекдоты вместо логов атаки.

[Удален]
#38
sappi:
Ну в общем как я и предположил выше, лог оказался легитимным доказательством. Не думаю, что хостер стал бы давать клиенту логи, в которых были бы написаны анекдоты вместо логов атаки.

ну и как? Побороли "МЕГА" ддос? ;)

sappi
На сайте с 11.11.2009
Offline
28
sappi
#39
coolvds:
ну и как? Побороли "МЕГА" ддос? ;)

Немогу данного знать, так как свои услуги ТС я не навязывал и не предлагал, да и в таковых он не нуждается.

Незнаю к чему весь этот сарказм, когда человеку просто была необходима минимальная помощь. Хотя даже не помощь, а просто совет.

Опубликован Реестр провайдеров хостинга Как относятся поисковики к Вывод на КредитЕвропаБанк
rustelekom
На сайте с 20.04.2005
Offline
536
rustelekom
#40

не очень понял зачем его посуспендили - чтобы нагрузку не создавал? так это можно было сделать простым deny from all в .htaccess и почта бы осталась у человека. вообще, если это тариф из серии - цена стремится к нулю тогда понятно что возится никто с ним не будет. а так в общем то может быть что тупая атака которая вполне может быть отбита на севере - просто никому не охота за бесплатно возиться.

60% скидка на VPS в США, 20% скидка в Нидерландах и 40% в Финляндии. Хостинг, VPS и серверы в США, Нидерландах, Финляндии, Германии и России. RoboVPS https://www.robovps.biz
1 2345

Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий