Не так давно была заявка по чрезмерной нагрузке на хостинг, все в общем банально, но может кому и пригодится.
После получения паролей я первым делом зашел в админ панель сайта и открыл менеджер перенаправлений (Joomla) где сразу увидел бота. Бот сканировал разные ссылки в поисках уязвимости, причем даже не относящихся к данной CMS.
Не знаю для чего (надеюсь, создатели бота меня не слышат) пошли таким путем. Можно прочитать robots.txt и сразу определить движок сайта. Далее, отсортировав уязвимости только для этой платформы, можно увеличить скорость сканирования, если не на порядок, то в несколько раз. Явно, это была работа одного из инструментов аудита безопасности Kali Linux.
Сайт предсказуемо оказался взломан, позднее «вылечен», но через несколько дней заказчик написал, что сайт оказывает чрезмерную нагрузку.
В панели управления хостингом я включил ведение логов и стал ждать результатов.
Открыв логи, все стало ясно. С одного диапазона IP, расположенного в США, (возможно, там был злоумышленник, а возможно взломанный компьютер или прокси-сервер) каждую секунду приходило по несколько запросов. Многие обращались к страницам сайта, что создавало нагрузку на базу и процессор. Нужно от них избавится.
Открываем .htaccess (если у вас его нет, нужно создать) и вносим IP адрес (на примере заменен на хх.ххх.ххх).
Order Deny,Allow Deny from хх.ххх.ххх
Обратите внимание, я не стал вносить последние цифры адреса, чтобы заблокировать весь диапазон.
Нагрузка, действительно, спала, но через несколько дней подскочила снова. Оказалось, что бот сменил адреса, пришлось и их отправить в бан. Так повторялось три раза, но каждый раз нагрузка становилось все меньше.
Для добавления ip адрес в .htaccess в следующей строке внести - Deny from хх.ххх.ххх , где хх.ххх.ххх новый адрес.
Пока наблюдаю дальнейшее развитие событий, и, если будет что-то интересное, отпишусь.
Что я хотел сказать? Поглядывайте изредка на нагрузку, если она резко подскочила, возможно, вас пытаются сломать. Как говорится, если у вас паранойя — это не значит, что за вами не следят.
Комментарии
А что не получается с доменом?
Пишите, попробую помочь, почта есть в профиле