Предложение актуально.
Продам мои Яндекс-деньги за ваши вебмани или за банковский перевод от вас.
В наличии 15 000 ЯД.
Аськa 169938-шеcть-79
Боты обнаруживаются в логах нормально.
Проблема в том что анализ логов и бан ботов происходит раз в минуту.
А так как ботнет большой, то каждую минуту приходит по 50 новых ботов и успевают создать нагрузку, которая блокирует работу сервера.
Большинство ботов медленные. Делают от 5 до 100 запросов в минуту, поэтому лимит limit_req их не блокирует.
Проблема еще усугубляется, тем что сервер не очень мощный
AMD Athlon(tm) II X4 605e
Я не смотрел скрипты самого сайта и запросы к mysql.
Может быть они не оптимизированы.
Вообщем проблему с атакой решить не удается. Здесь нужно заниматься оптимизацией сайта и сервера, для того что бы он держал повышенную нагрузку.
атакуемая страница регулярно меняется
Проблема в том, что за минуту новые боты пока не попали в бан в фаервол успевают загрузить апач и нагрузка
load average до ходит до 100 и выше и сервер перестает откликаться.
67.230.61.26 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Symbian OS; Nokia 6630/4.03.38; 6937) Opera 8.50 [es]" 119.156.18.69 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 2000) Opera 6.03 [en]" 213.169.80.75 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; ru; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3" 122.176.174.90 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Opera/10.00 (Windows NT 6.0; U; en) Presto/2.2.0" 182.182.83.40 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/5.0 (X11; U; Linux i686 (x86_64); en-US; rv:1.9a1) Gecko/20061204 GranParadiso/3.0a1" 122.176.174.90 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Opera/9.80 (X11; Linux x86_64; U; en) Presto/2.2.15 Version/10.10" 182.48.218.113 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.2; ru; rv:1.9.0.5) Gecko/2008120122 Firefox/3.0.5" 120.56.195.171 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.2; SV1; .NET CLR 1.1.4322)" 122.176.174.90 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.0; en-US; rv:1.8.0.4) Gecko/20060508 Firefox/1.5.0.4" 117.199.184.249 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/5.0 (X11; U; Linux x86_64; ru; rv:1.9.0.2) Gecko/2008092702 Gentoo Firefox/3.0.2" 109.122.201.66 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US) AppleWebKit/532.5 (KHTML, like Gecko) Chrome/4.0.249.89 Safari/532.5" 119.156.18.69 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 503 213 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Mac_PowerPC) Opera 6.0 [en]" 2.181.127.70 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)" 2.181.127.70 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Opera/9.01 (X11; Linux i686; U; en)" 182.182.83.40 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0)" 182.182.7.21 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9) Gecko/2008052906 Firefox/3.0" 182.182.83.40 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Microsoft Internet Explorer/4.0b1 (Windows 95)" 182.182.83.40 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 503 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Symbian OS; Nokia 6600/5.27.0; 9399) Opera 8.65 [ru]" 182.182.83.40 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 503 213 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Symbian OS; Nokia 6630/4.03.38; 6937) Opera 8.50 [es]" 178.217.248.1 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; nl; rv:1.8) Gecko/20051107 Firefox/1.5" 124.118.197.106 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; SV1; Arcor 5.005; .NET CLR 1.0.3705; .NET CLR 1.1.4322)" 124.118.197.106 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 6.0; WOW64; Trident/4.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.5.21022; .NET CLR 3.5.30729; .NET CLR 3.0.30618)" 109.122.201.66 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/2.0 (compatible; MSIE 3.01; Windows 98)" 82.113.121.101 - - [17/Nov/2011:18:30:53 +0300] "GET /forum/index.php HTTP/1.0" 499 0 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; ru; rv:1.9.0.3) Gecko/2008092417 Firefox/3.0.3"
Бывает, конечно, что и хорошо зарабатывающие не скрывают своих доходов, но в нашей стране это редкость.
Так как в криминальной стране, каждого второго можно наказать за нарушения. А при желании вообще каждого.
Те кто хорошо зарабатывают, обычно об этом не говорят.
Хвастаются своими доходами, либо новички, либо те кто рекламирует сомнительные способы зароботка (хайп, млм, форекс)
Но их цифрам я бы не стал особо доверять.
Все обменники обязаны записывать паспортные данные у тех у кого покупают ВМ.
А если какой то частник скупает ВМ за нал у незнакомых ему людей, то рано или поздно купит грязные вебмани.
Вопрос.
Если какое то частное лицо (не зарегистрировано в Мегастоке) скупает ВМ, но записывает паспортные данные, того у кого покупает, то в случае если деньги ВМ окажутся грязными, кто окажется крайним?
Или, например, покупает ВМ за банковский перевод, то есть знает реквизиты человека у которого купил ВМ, то кто будет крайним если потом эти деньги окажутся ворованными?
Suvoroff, Вы «первый» пострадавший именно в этой ситуации в которой ТС оказался вторым?
Ситуация не однозначная и может быть интерпретирована по разному.
Очень интересно что решит арбитраж.
Держите нас в курсе.
Скажу вам как программист, работавший во многих компаниях.
Никак вы от кражи исходников проекта программистом не защититесь.
Для большого проекта нужны не только исходники, но и
1) сервера
2) служба поддержки
3) Система приема платежей.
4) Бухгалтерия.
5) и еще много чего.
Так что не переживайте.
Программист второй вканттакте не откроет.
Нужно смотреть какой сайт создает нагрузку.
Может вас ддосят.
Посмотрите логи access.log
Найдите сайт у которого самые большие логии и смотрите, нет ли в них однотипных запросов.
До 50 мбит вполне можно отбивать атаку программными средствами, путем занесения всех ботов в фаервол iptables.
