- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Сегодня на сайт была небольшая ддос атака.
Атака проблем не вызвала, интересно то, что шла она с серверов хостеров.
Тип атаки http-флуд.
Дата начала 16.января.2014 18:48
Длительность 2 часа.
Количество атакующих IP 96
Общее количество http -запросов 1704
Каждый бот сделал по 15-35 одинаковых запросов.
Все атакующие запрашивали одну страницу на сайте.
Боты сделали так мало запросов, потому что сработала ддос защита и занесла их в фаервол.
Если бы защиты от ддос не было на сервере, то они могли бы положить сервер.
Кусок лога
полный лог http запросов ддос атаки во вложении к теме.
Примечательно то, что все IP участвовшие в атаке принадлежат датацентрам и хостерам, оказывающим услуги хостинга и колокейшн.
Вот список некоторых атаковавших IP и названия хостеров кому принадлежат.
Есть известные MASTERHOST, ESERVER, Agava, SWEB, MAJORDOMO, Keyweb, Hetzner и другие.
90.156.196.148 MASTERHOST
90.156.197.223 MASTERHOST
90.156.197.218 MASTERHOST
77.221.130.1 INFOBOX
178.218.218.32 ESERVER
193.108.251.30 MEGASTYLE
194.28.174.100 BESTHOSTING
194.85.94.253 NIC-HOSTING
77.246.148.145 EPLANET
178.210.84.72 RU-HOSTING
89.108.111.51 Agava
95.163.84.10 RU-DINET
77.222.42.167 SWEB.RU
144.76.136.74 INTOBSERVATORY.RU
91.201.52.59 INTERNET-PRO-NET
178.159.253.110 ACTIVEHOST
62.109.18.174 ispsystem.com
78.46.89.104 Hetzner Online AG
77.222.40.169 SWEB.RU
77.222.42.105 SWEB.RU
178.250.243.226 MAJORDOMO.RU
95.169.184.32 Keyweb Online
Что это может быть?
Либо эти сервера хостеров заражены троянами, либо их обслуживает один админ-кулхацкер, который балуется ддосами.
Абузы хостерам с которых был флуд, сейчас разошлю.
Посмотрим что ответят.
Все объясняется просто, долгоживущие сервера забиты шеллами на необновляемых сайтах.
такой-то детский флуд. может это чекеры проверяющие доступность сайта? типа хост трекера.
такой-то детский флуд. может это чекеры проверяющие доступность сайта? типа хост трекера.
Боты сделали так мало запросов, потому что сработала ддос защита и занесла их в фаервол.
Если бы защиты от ддос не было, то они могли бы положить сервер.
Несколько серверов в бинге посмотрел - все оказались шаред хостингами, соответственно, как выше сказали, скорее всего на всех полно дырявых сайтов с шеллами/троянами.
скорее всего на всех полно дырявых сайтов с шеллами/троянами.
А разве целесообразно делать ботнет на PHP скриптах? Как их запускать, учитывая повсеместное ограничение времени работы?
К тому же, cUrl часто тоже урезают.
А разве целесообразно делать ботнет на PHP скриптах? Как их запускать, учитывая повсеместное ограничение времени работы?
К тому же, cUrl часто тоже урезают.
На PHP делать ботнет нецелесообразно.
Его можно сделать в виде трояна-демона, написанного С.
Который, например раз в 10 минут обращается к управляющему серверу ддосера, получает оттуда цель для атаки, и сам потом посылает запросы через TCP/IP сокет.
CURL для этого не нужен.
Почти на все абузы получил ответы, что меры приняты.
Клиентам сообщено или взломанные сервера заблокированы.
zexis, добрый день, мой сервер входит в те 96, приношу свои извинения, но не моглибы вы дать какую то дополнительную информауию для поиска траблы
возможно ваш айпи или адрес ресурса, чтобы както упростить и ускорить поиск проблемы? заранее спасибо
На PHP делать ботнет нецелесообразно.
Заливаем shell, далее с помощью .htaccess запускаем демона через ExecCGI
Заливаем shell, далее с помощью .htaccess запускаем демона через ExecCGI
Угу, я вспоминаю, меня как раз в своё время один крендель ДДОСил комплексно - ботнетом из затрояненных юзеров и серверами. Причём делал хитрО - сначала натравливал юзеров, чтоб они "загрузили" фаер, а потом уже пускал в ход "тяжёлую артиллерию" в виде серваков, где каналы не в пример юзерским. В итоге ему пару раз-таки удавалось "увалить" мне канал так, что я терял контроль над сервером :(.