DDOS атака! Ответ сайта 403 Forbidden!

lukamal · 27.09.12

Вот такое сообщение прислала техподдержка.
Сайт лежит! Выдаёт 403 Forbidden.

Что можете посоветовать!

Здравствуйте.

Инженерами TIMEWEB зафиксировано чрезмерное увеличение количества запросов к вашему сайту xxxxxxxx.ru, в результате анализа данных запросов была выявлена DDOS атака.
Инженеры TIMEWEB предпринимают все возможные меры для отражения атаки.
Всплывающее при первом посещении сайта окно с кнопкой "ОК", установленное на вашем сайте, является частью системы защиты.

Обращаем ваше внимание на то, что если атака будет нести угрозу стабильной работе сервера на котором размещен ваш аккаунт - работа сайта будет остановлена.

По окончанию атаки защита будет снята.

Добавлено через 42 секунды
Если написал в ветке не по теме прошу админа перенести.

Ночная странница · 27.09.12

lukamal, всю заботу о сайте и отражении атаки взяла на себя служба техподдержки, это же хорошо... Сама пользуюсь этим хостингом, буду следить за темой... Удачи вам, все могут в такой ситуации оказаться...

lukamal · 27.09.12

Ночная странница написал(а):
lukamal, всю заботу о сайте и отражении атаки взяла на себя служба техподдержки, это же хорошо... Сама пользуюсь этим хостингом, буду следить за темой... Удачи вам, все могут в такой ситуации оказаться...

У хостера видимо канал перегрузился или сервер стал грузить систему так, что другие сайты стали тормозить и мой сайт заблокировали до окончания DDOS атаки. А сколько она продлится не известно. Пошёл у ящи спрашивать, что делать. :crazy:

Wmboard · 27.09.12

lukamal написал(а):
Что можете посоветовать!

Сменить хостера.

Ночная странница написал(а):
lukamal, всю заботу о сайте и отражении атаки взяла на себя служба техподдержки, это же хорошо...

На любом виртуальном хостинге отражение ddos это служба техподдержки. Если свой сервер, тогда это проблемы владельца сайта.

на самом деле скорее всего ничего они не отражают, а просто заблокировали сайт и ждут пока атака закончится. Если она на самом деле есть.

lukamal написал(а):
Пошёл у ящи спрашивать, что делать

Яша вам ответит ждать.

lukamal · 27.09.12

Пообщавшись с ящей нашёл следующее решение

1. Посмотрел файл access_log и стало ясно, что стучат с двух IP адресов 124.238.171.60, 27.189.25.209
2. В корне сайта создал файл .htaccess

в этом файле прописал

Order Allow,Deny
# Сначала разрешаем доступ всем
Allow from all
# НО! Запрещаем доступ со следующих адресов
Deny from 124.238.171.60
Deny from 27.189.25.209

через 5 минут сайт стал доступен.

Это была не DDOS атака
в это ветке я писал https://lumtu.com/vbulletin-4-x-x/3...h-dopolnitel-nye-voprosy-pri-registracii.html про хак NoSpam.
Несколько дней назад стучалка стала закидывать спам по этому то и поставил хак.
Вот эта стучалка и стала усиленно пытаться регистрироваться. По log файлу она сделала 679678 запросов за 4 часа 22 минуты. После этого сайт отключил хостер.

Код:

qqqqqqqqq.ru 124.238.171.60 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8840 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8839 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 124.238.171.60 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8835 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8830 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8832 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8845 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 124.238.173.76 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8841 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "GET /register.php? HTTP/1.0" 200 8667 "http://qqqqqqqqq.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8835 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8836 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 124.238.173.76 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8846 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8831 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "GET /register.php? HTTP/1.0" 200 8668 "http://qqqqqqqqq.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 124.238.173.76 - - [27/Sep/2012:11:15:54 +0400] "GET /register.php? HTTP/1.0" 200 8680 "http://qqqqqqqqq.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 124.238.173.76 - - [27/Sep/2012:11:15:54 +0400] "GET /register.php? HTTP/1.0" 200 8669 "http://qqqqqqqqq.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "GET /register.php? HTTP/1.0" 200 8669 "http://qqqqqqqqq.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 124.238.171.60 - - [27/Sep/2012:11:15:54 +0400] "GET /register.php? HTTP/1.0" 200 8669 "http://qqqqqqqqq.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"

Всё это навело на мысль, что завалить сайт сможет любой школьник, а если будет настоящая DDOS атак придётся платить деньги за защиту!!!

Wmboard · 27.09.12

lukamal написал(а):
Вот эта стучалка и стала усиленно пытаться регистрироваться. По log файлу она сделала 679678 запросов за 4 часа 22 минуты. После этого сайт отключил хостер.

lukamal, отличный хостер, я вам скажу! :good: С подобного хостера я бы съехал после первого же прецедента.

124.238.171.60, 27.189.25.209 это китайские прокси. А теперь смотрите. На хрумере, или чем там вам пытаются спамить, меняют прокси и хостер опять отключает вам сайт.

lukamal написал(а):
Всё это навело на мысль, что завалить сайт сможет любой школьник

Смотря какой хостер. Подобные проблемы не решаются локально.

lukamal написал(а):
а если будет настоящая DDOS атак придётся платить деньги за защиту!!!

Ну а как вы думали. На российских серверах так, и еще вопрос какая будет защита.

lukamal · 27.09.12

lukamal, отличный хостер, я вам скажу! С подобного хостера я бы съехал после первого же прецедента.

А вы каким хостиногом пользуетесь.

Сегодня устал.
Но думаю вникнуть в проблему поглубже.
Есть мысль разрешить заходить на сайт только с Российских и СНГ IP.

Wmboard · 27.09.12

lukamal написал(а):
А вы каким хостиногом пользуетесь.

Баннер в хедере в правом углу, например.
Я сотрудничаю с рядом хостинг компаний. Около десятка.

lukamal написал(а):
Есть мысль разрешить заходить на сайт только с Российских и СНГ IP.

Интересно как вы их будете сортировать :) А ботов? :) Только у гуглобота целая подсеть IP, а Яхо? Там их вообще сотни :)

lukamal · 27.09.12

Veter написал(а):
Интересно как вы их будете сортировать :) А ботов? :) Только у гуглобота целая подсеть IP, а Яхо? Там их вообще сотни :)

Вот тут вы правы.
Буду думать о другом хостинге.

[ADMIN="Veter"]Беседа о хостинге перемещена: https://lumtu.com/hosting/3258-posovetuite-nadezhnyi-hosting.html[/ADMIN]

DDOS атака! Ответ сайта 403 Forbidden!

lukamal

Ночная странница

lukamal

Wmboard

lukamal

Wmboard

lukamal

Wmboard

lukamal