SearchEngines.bg

Това е примерно съобщение за гост. Регистрирайте безплатен акаунт днес, за да станете потребител на SearchEngines.bg! След като влезете, ще можете да участвате в този сайт, като добавите свои собствени теми и публикации, както и да се свържете с други членове чрез вашата лична входяща кутия! Благодарим ви!

Проблем с атаки към сайт

sweety

New member
Привет имам неприятности. Сървърът пада. Прилагам лог

#reqs #pages browser
11328408 755898 [not listed: 16,621 browsers]
1193381 46259 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)
674908 23974 Mozilla/5.0 (Windows NT 5.1; rv:40.0) Gecko/20100101 Firefox/40.0
653657 23584 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:40.0) Gecko/20100101 Firefox/40.0
613529 22154 Mozilla/5.0 (Windows NT 6.1; rv:40.0) Gecko/20100101 Firefox/40.0
520981 34345 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:39.0) Gecko/20100101 Firefox/39.0
494051 22339 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
477860 16461 Mozilla/5.0 (Windows NT 5.1; rv:39.0) Gecko/20100101 Firefox/39.0
477782 21669 Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
469495 22656 Mozilla/5.0 (Windows NT 6.1; WOW64; Trident/7.0; rv:11.0) like Gecko
437941 20012 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.157 Safari/537.36
429395 15077 Mozilla/5.0 (Windows NT 6.1; rv:39.0) Gecko/20100101 Firefox/39.0
427883 18874 Mozilla/5.0 (Windows NT 6.1; Trident/7.0; rv:11.0) like Gecko
424710 18788 Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.157 Safari/537.36
328982 14994 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36
324780 14830 Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.155 Safari/537.36
313536 13438 Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.101 Safari/537.36
298082 13540 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.155 Safari/537.36
296747 13095 Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36
288172 259827 Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)
259916 11324 Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.157 Safari/537.36
240950 188355 Mozilla/5.0 (compatible; AhrefsBot/5.0; +http://ahrefs.com/robot/)
236505 10877 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.134 Safari/537.36
234836 10769 Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/43.0.2357.134 Safari/537.36
232187 10174 Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/45.0.2454.85 Safari/537.36
188083 135169 Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
114030 109849 Mozilla/5.0 (compatible; MJ12bot/v1.4.5; http://www.majestic12.co.uk/bot.php?+)
111508 25332 Mozilla/5.0 (Windows NT 6.1; rv:37.0) Gecko/20100101 Firefox/37.0
104438 22812 Mozilla/5.0 (Windows; U; Windows NT 6.1; en-US; rv:1.9.2b1) Gecko/20091014 Firefox/3.6b1 GTB5
102410 22177 Mozilla/5.0 (Windows; U; MSIE 7.0; Windows NT 6.0; en-US)
73950 29474 Mozilla/5.0 (Windows NT 6.3; WOW64; rv:36.0) Gecko/20100101 Firefox/36.0
59905 28216 Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2214.111 Safari/537.36
55573 22978 Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36
48744 13780 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:36.0) Gecko/20100101 Firefox/36.0
33641 13986 Mozilla/5.0 (Windows NT 6.1; WOW64; rv:35.0) Gecko/20100101 Firefox/35.0
28042 25637 Mozilla/5.0 (compatible; YandexBot/3.0; +http://yandex.com/bots)
23892 9898 Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.101 Safari/537.36
13796 12520 Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; TencentTraveler ; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)
13764 11421 Mozilla/5.0 (iPhone; CPU iPhone OS 6_0 like Mac OS X) AppleWebKit/536.26 (KHTML, like Gecko) Version/6.0 Mobile/10A5376e Safari/8536.25 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)
11329 11241 Mozilla/5.0 (compatible; SemrushBot/0.99~bl; +http://www.semrush.com/bot.html)
10520 10301 Mozilla/5.0 (compatible; spbot/4.4.2; +http://OpenLinkProfiler.org/bot )
 
Scooby като му гледам данните, които е посочил едва ли е от едно или 2 IP-та. Това си е дистрибутирано, но с толкова оскъдна информация никой не може да му помогне. Не споменава каква услуга ползва - VPS, Cloud, dedicated. Не споменава какви параметри като ресурси ползва - CPU / RAM / Bandwidth / Storage type ? Не споменава какъв уеб сървър ползва, има ли кеширане, няма ли, има ли proxy?
 
Привет
Благодаря за отговорите. За съжаление за първи път се сблъсквам с това и не знам каква информация да подам. Някой споменава логове, но като не знам какъв лог да предоставя съм пляснал първото което съм забелязъл като съмнително според мен, явно не е правилният лог.
Awstats сега го активирах може би трябва време за да даде информация а другите нямат информация по ИП адрес
Използвам ВПС 2 GB RAM 3Cores 70 HDD, apache, Cpanel, Centos 6.2 100Mbps.
Ако мога да дам допълнителна информация, просто не разбирам. Чета от няколко дена информация по темата но почти навсякъде тя е обща. Никъде не открих как да анализирам някаква статистика. Разбрах каква е разликата между Dos и DDos.
Не знам е удачно чрез htaccess да дам достъп само за България, т.е. дали ще открия пълен списък на ПИ диапазони за България. ако това на първо време ще ми даде да отдъхна, че сайта от два 3 дни е спрян. Пробвах безплатната версия на cloudflare но мисля че не върши работа защото сървъра пак умря.
Благодаря
С поздрав
 
На 21 вечерта и 22 имаше атака от някакъв ботнет. Моят сървър го удариха едновременно 164 бота с различни ІР адреси от цял свят и макар че сървърът ми е много по-слаб, нямаше проблеми благодарение на защитата, която ползвам и винаги препоръчвам - ZB BLOCK - описание, предназначение, даунлоуд
http://wasteland-bg.com/phpbb2/topic1457.html. Ако някой има интерес, може да види лог файла ми, като ще разпознае атакуващите ботове от мрежата по еднаквия реферер - 0jejhcec65c24dslii.com, който практически не съществува. :)

Съжалявам, но в момента линкът за даунлоуд не работи, защото сайтът на автора е офлайн, а поради нисък интерес у нас, аз предпочетох да пренасоча даунлоуда към неговия сайт, вместо да ъпдейтвам постоянно файлове на моя сървър. :(
 
Последно редактирано:
Привет
Благодаря за отговорите. За съжаление за първи път се сблъсквам с това и не знам каква информация да подам. Някой споменава логове, но като не знам какъв лог да предоставя съм пляснал първото което съм забелязъл като съмнително според мен, явно не е правилният лог.
Awstats сега го активирах може би трябва време за да даде информация а другите нямат информация по ИП адрес
Използвам ВПС 2 GB RAM 3Cores 70 HDD, apache, Cpanel, Centos 6.2 100Mbps.
Ако мога да дам допълнителна информация, просто не разбирам. Чета от няколко дена информация по темата но почти навсякъде тя е обща. Никъде не открих как да анализирам някаква статистика. Разбрах каква е разликата между Dos и DDos.
Не знам е удачно чрез htaccess да дам достъп само за България, т.е. дали ще открия пълен списък на ПИ диапазони за България. ако това на първо време ще ми даде да отдъхна, че сайта от два 3 дни е спрян. Пробвах безплатната версия на cloudflare но мисля че не върши работа защото сървъра пак умря.
Благодаря
С поздрав

в cPanel логовете се намират в /usr/local/apache/logs/ и /usr/local/apache/domlogs/<domaina.ti>

Да ползваш CF е безмислено, след като вече ти знаят IP -то на сървъра тъй като изобщо не минават през DNS а ботовете правят заявки директно към сървъра с "curl" и "not resolve" опцията. Общо взето най-евтиното ти решение е да смениш IP-то на сървъра и същевременно да пуснеш CF. Платената им услуга също ще е безмислена, след като ти знаят IP-то на сървъра.
 

Горе