Как вариант ищем в гугле
А чем тут вирус? Какой то кусок закомментированного кода. Скачайте все файлы сайта на ПК, запустите Notepd++ и выполните поиск совпадений по фразе " cloudfire" по папке где будут все файлы сайта. Скорее всего это будет достаточно, а там дальше смотрите код и удаляете редирект. Ну или же он где то в БД сайта прописан.
95% Россия, сетки анализировал, половина хостинги и мобильные операторы.
Тут главное, то, что многие на этом форуме скорее всего не в курсе, что половину органического трафика делают боты. По крайней мере на коммерческих сайтах, где есть информационные статьи.
Обычно боты из мобильных операторов ходят на одинаковые URL. Можно проанализировать логи и если сайт допустим региональный, то заблокать лишние сети. Без самого сайта и логов больше ничего не могу сказать, думаю и другие ничего не скажут.
Сравнивайте по стране к примеру. Если прям ничего нет общего, попробуйте найти специалиста, который найдет общие или смиритесь.Сетки не сложно блокировать, главное понимать какие они, обычно к ним относятся облако или хостинги, реальных там пользователей 1% (кто с VPN).
По какому принципу блокировать? Как вы отличите бота от человека?
Смотрите логи сайта / сделайте логирование оставшихся переходов с ПС через клауд и смотрите что общего, блокируйте.
Всем привет. После того, как подключил CF, мне на почту перестали приходить письма о поступлении новых заказов с моего сайта. Выяснил, что это робокасса перестала присылать ответ о заказе, на основе которого я рассылал письма админу и клиенту. Я отключил проксирование почтовых серверов в настройках DNS, вроде помогло, пару писем пришло, затем опять перестали.
Я добавил пул адресов робокассы в список и для этого списка сделал SKIP по всем параметрам: (ip.src in $robokassa_ip_list). Вижу что CF стал пропускать айпишники, вижу что робокасса делает POST запрос на мой сайт и мой сайт возвращает OK.
Однако ответ OK совершенно не такой как был раньше и в ответе видно, что подгружается какая то проверка от CF. При этом вроде ОК есть, но письма о заказе все равно не формируются. Подскажите куда копать?
В правилах с manage challenge вот так: (not http.request.version in {"HTTP/2" "HTTP/3" "SPDY/3.1"} and not ip.geoip.asnum in {13238} and not ip.geoip.asnum in {208722}) or (http.referer eq "" and not ip.geoip.asnum in {13238} and not ip.geoip.asnum in {208722}) or (not ssl and not ip.geoip.asnum in {13238} and not ip.geoip.asnum in {208722}) or (cf.threat_score ge 5)
Прикрепляю два скрина.
1 скрин - лог с робокассы с нормальным ответом с моего сайта, при котором скрипт формирует и рассылает письма о новом заказе.
2 скрин - лог после подключения CF
Попробуйте пропускать запросы (выше правила старых протоколов), которые содержат: (http.request.uri contains "out_summ") В крайнем случае Вы можете посмотреть правила блокировки и капчи (логи клауда и найти какой запрос отправляется и блокируется) там будет Path который содержит что то типо того что Вы скинули, ищите по содержанию out_summ
{"HTTP/2" "HTTP/3" "SPDY/3.1"} - скорее всего запрос идет по старому протоколу (например по HTTP 1.1 и идет автоматическая проверка. Тут или вариант выше или исключение запросов в это правило.Во вкладке Events можете посмотреть все логи или сделать нужную фильтровку и посмотреть почему и по какому правилу идет блокировка.
Решение есть, предоставлял как минимум 2 раза пример на этом форуме.
Здравствуйте, спасибо за ответ, но что там по модерации данного сайта? Все хорошо? Можно генерировать мусор и быть в РСЯ?
Боты из Краснодара обычно ходят по одним и тем же урлам, посмотрите в отчете за неделю так ли это. Если в .htaccess можно сделать условие типо - если заход на такой то URL из такой то сети (подсети) и он прямой - то блокировка. Но в клауде это делается в одну строчку.
