Используя Cloudflare блокировал доступ к сайту по протоколам и Странам – с которых точно клиентов быть не может. Помогало – значительно убрал бото-трафик и левую активность на сайтах.
Но прибежали менеджеры магазина – говорят клиенты жалуются, не доступны сайты с мобильных устройств. Пришлось отключить проксирование через Cloudflare – и началось…
Ежедневно стали регистрироваться левые пользователи. Полез смотреть логи сервера – а там кошмар, каждый день, два-три раза в сутки идут потоки запросов - по несколько тысяч за раз, типа:
185.177.72.104 - - [04/Jul/2025:08:04:56 +0000] "GET /.env.prod HTTP/1.1" 403 195 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"185.177.72.104 - - [04/Jul/2025:08:04:56 +0000] "GET /wp-config HTTP/1.1" 404 2311 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"185.177.72.104 - - [04/Jul/2025:08:04:56 +0000] "GET /config.js HTTP/1.1" 404 2311 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"185.177.72.104 - - [04/Jul/2025:08:04:56 +0000] "GET /.env.old HTTP/1.1" 403 195 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"185.177.72.3 - - [04/Jul/2025:16:05:39 +0000] "GET /wp-config.sublime-project HTTP/1.1" 404 196 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"185.177.72.3 - - [04/Jul/2025:16:05:39 +0000] "GET /wp-config.backup HTTP/1.1" 404 196 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"185.177.72.3 - - [04/Jul/2025:16:05:39 +0000] "GET /src/.env HTTP/1.1" 404 196 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"185.177.72.3 - - [04/Jul/2025:16:05:39 +0000] "GET /linusadmin-phpinfo.php HTTP/1.1" 404 196 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"185.177.72.3 - - [04/Jul/2025:16:05:39 +0000] "GET /lara/info.php HTTP/1.1" 404 196 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"34.162.14.82 - - [04/Jul/2025:23:10:29 +0000] "GET /.git/HEAD HTTP/1.1" 403 134 "-" "ct\xE2\x80\x91git\xE2\x80\x91scanner/0.4"34.162.14.82 - - [04/Jul/2025:23:10:29 +0000] "GET /.git/HEAD HTTP/1.1" 403 134 "https://www.my-site.ru/.git/HEAD" "ct\xE2\x80\x91git\xE2\x80\x91scanner/0.4"34.162.14.82 - - [04/Jul/2025:23:10:29 +0000] "GET /.git/HEAD HTTP/1.1" 302 154 "-" "ct\xE2\x80\x91git\xE2\x80\x91scanner/0.4"37.221.67.65 - - [04/Jul/2025:23:10:42 +0000] "POST /bitrix/admin/esol_import_excel_cron_settings.php HTTP/1.1" 302 154 "-" "Mozilla/5.0 (Windows NT 10.0; WOW64; Trident/7.0; rv:11.0) like Gecko"37.221.67.65 - - [04/Jul/2025:23:10:43 +0000] "POST /bitrix/admin/esol_import_excel_cron_settings.php HTTP/1.1" 302 154 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.8; rv:45.0) Gecko/20100101 Firefox/45.0"
Данные запросы направлены на поиск уязвимостей – для возможного взлома, и таких запросов по пять - шесть тысяч в день.
Анализ IP – показал, что указанные запросы идут по протоколу HTTP/1.1 с других стран.
Ранее, для пользователей этих стран сайт был доступен только через капчу Cloudflare… Проблема легко решалась, и пять правил для настройки WAF Cloudflare на бесплатном тарифе – было вполне достаточно для решения подобных проблем.
Теперь “любимый” PKH лишил этой возможности, а альтернативы пока нет… Да и вряд ли будет, точнее вряд ли это будет бесплатно. Наверняка проклятые капиталисты заломят цену, тем более в отсутствие конкурентов и альтернатив.
Пока на уровне NGINX сервера заблокировал доступ к пользователям других стран, от куда получить заказчиков маловероятно. Частично проблема решена. Только при заходах на сайт с третьих стран пользователь получает не каптчу Cloudflare, а 403 – ответ сервера.
Возможно сработал поисковый алгоритм Яндекса "Однорукий бандит".
Для того, что бы поисковая выдача обновлялась свежими материалами, не консервировалась - годами висящими в топе с устаревшей информацией сайтами, для новых сатов Яндекс применяет данный алгоритм.
На короткий промежуток времени - поисковик помещает в топ новые сайты - дает им шанс, и если поведенческие факторы будут хорошие - оставляет.
Типичный ботный долбеж.Блокируй все их диапазоны, они отстанут.
Благодарю. Уже сделал.
Вопрос в том, зачем это все? Какие цели преследуют?
Все таки это настройки этот ботного трафика требует затрат времени, да и денег наверное.
Прощу гуру поискового продвижения поделится мнением.
Ситуация. Праздничные дни начался резкий, аномальный всплеск прямых заходов на сайт. Анализ данных метрики и логов сервера показал:
К примеру, только за одни сутки, количество таких отказных посещений составило 4460, что значительно превышает среднее значение в обычные дни.
Как Вы думаете, что это может быть? DDOS? Кому и зачем это может быть нужно?
Я тебе скажу одну умную вещь, ты только не обижайся
1. На рынке накрутки ПФ есть три группы игроков:
1.1. Игорек, который регулярно "выкидывает" на рынок рабочие шаблоны, которые попадают под антифрод через месяц-два работы с ними.
1.2. Группа, назовем их "школьники", в которую входят те, кто только усваивает процесс ПФ, в эту группу входят и такие, как Антоний. Они могут работать на зенках и доступных шабах. Бывает, ч то работают от трех месяцев до полугода, до первого апдейта алго.
1.3. И, малый отряд спецов, которые пишут Шабы сами и регулярно их обслуживают, но: не продают, не дают в аренду, не афишируют. Такая группа, по моим данным, насчитывает примерно 8-10 чел, которые и держат основной рынок услуг ПФ.
А еще есть группа “высококлассных специалистов” – якобы обладающих сокральными, известными только им знаниями , умениями и секретными технологиями, которые обещают невероятно быстрый успех и долговременный результат, гарантирующие на 100% позиции сайта в первых строках поисковой выдачи,
- берущие деньги и тихо сливающиеся под различными предлогами.
В вебмастере регион можете проверить и добавить/изменить. В Финляндии сайт показывать не будут, там Яндекс не юзают.
https://webmaster.yandex.ru/site/https:сайт.ru:443/serp-snippets/regions/
Регион в вебмастере указан . Не смотра на то, что указан основной регион, сайт не плохо ранжируется в других регионах России . Идут обращения с других регионов России и Белоруссии.
Наверное указанный в Вебмаетре регион сайта учитывается как приоритет - и запретить показы в других регионах так вряд ли получиться.
Сloudfalre - пожалуй надежнее, сделаю вход для посетителей других стран, кроме России и Белоруссии только через капчу.
Если есть cloudfalre, то поставьте на проверку по номеру сетки.
Благодарю за совет. Так и сделал. Жду когда DNS - на cloudfalre переопределяться.
