Боремся с ботами и нагрузкой на хостинг

4 комментария

Нагрузка на хостинг

Не так давно была заявка по чрезмерной нагрузке на хостинг, все в общем банально, но может кому и пригодится.

После получения паролей я первым делом зашел в админ панель сайта и открыл менеджер перенаправлений (Joomla) где сразу увидел бота. Бот сканировал разные ссылки в поисках уязвимости, причем даже не относящихся к данной CMS.

Менеджер перенаправлений (Joomla)

Не знаю для чего (надеюсь, создатели бота меня не слышат) пошли таким путем. Можно прочитать robots.txt и сразу определить движок сайта. Далее, отсортировав уязвимости только для этой платформы, можно увеличить скорость сканирования, если не на порядок, то в несколько раз.  Явно, это была работа одного из инструментов аудита безопасности Kali Linux.

Сайт предсказуемо оказался взломан, позднее «вылечен», но через несколько дней заказчик написал, что сайт оказывает чрезмерную нагрузку.

В панели управления хостингом я включил ведение логов и стал ждать результатов.

Открыв логи, все стало ясно. С одного диапазона IP, расположенного в США, (возможно, там был злоумышленник, а возможно взломанный компьютер или прокси-сервер) каждую секунду приходило по несколько запросов. Многие обращались к страницам сайта, что создавало нагрузку на базу и процессор. Нужно от них избавится. 

Открываем .htaccess (если у вас его нет, нужно создать) и вносим IP адрес (на примере заменен на хх.ххх.ххх).

Order Deny,Allow

Deny from хх.ххх.ххх

Обратите внимание, я не стал вносить последние цифры адреса, чтобы заблокировать весь диапазон.

Нагрузка, действительно, спала, но через несколько дней подскочила снова. Оказалось, что бот сменил адреса, пришлось и их отправить в бан. Так повторялось три раза, но каждый раз нагрузка становилось все меньше.

Для добавления ip адрес в .htaccess в следующей строке внести - Deny from хх.ххх.ххх , где хх.ххх.ххх новый адрес.

 

Проверка нагрузки на процессор

Пока наблюдаю дальнейшее развитие событий, и, если будет что-то интересное, отпишусь.

Что я хотел сказать? Поглядывайте изредка на нагрузку, если она резко подскочила, возможно, вас пытаются сломать. Как говорится, если у вас паранойя — это не значит, что за вами не следят.

Комментарии

У некоторых хостинг-провайдеров и без ботов нагрузка в "красной зоне".
Интересно бы знать, для кого Вы это пишете? Тут по-моему и так только знающие люди присутствуют. Вот мне нужна была помощь в мае 2015 года. Нагрузка была 100 и больше ср и всего один сайт. Меня даже отключали на 3 недели пока я не нашла мастера и исправила. Вот, как вас можно было в этот момент найти? И техподдержка и пальцем не пошевелила, чтобы помочь. А сейчас у меня проблема: не могу сайт привязать к домену. Техподдержка опять шпыняет, посылает в базу знаний.
Свернуть ответы
Комментарий автора
Asylum +95
01 июня в 2017
Здравствуйте.

А что не получается с доменом?
Пишите, попробую помочь, почта есть в профиле
На самом деле, насколько помню, в руцентре нужно включить автоматическую чистку журнала логов, по умолчанию она выключена, поэтому сервер переполняется ненужной и устаревший информацией.