DDOS атака! Ответ сайта 403 Forbidden!

lukamal

Редактор
Регистрация
30.08.12
Сообщения
803
Реакции
484
Баллы
28
Вот такое сообщение прислала техподдержка.
Сайт лежит! Выдаёт 403 Forbidden.

Что можете посоветовать!

Здравствуйте.

Инженерами TIMEWEB зафиксировано чрезмерное увеличение количества запросов к вашему сайту xxxxxxxx.ru, в результате анализа данных запросов была выявлена DDOS атака.
Инженеры TIMEWEB предпринимают все возможные меры для отражения атаки.
Всплывающее при первом посещении сайта окно с кнопкой "ОК", установленное на вашем сайте, является частью системы защиты.

Обращаем ваше внимание на то, что если атака будет нести угрозу стабильной работе сервера на котором размещен ваш аккаунт - работа сайта будет остановлена.

По окончанию атаки защита будет снята.

Добавлено через 42 секунды
Если написал в ветке не по теме прошу админа перенести.
 

Ночная странница

Пользователь
Регистрация
30.01.12
Сообщения
1.751
Реакции
965
Баллы
28
Возраст
47
lukamal, всю заботу о сайте и отражении атаки взяла на себя служба техподдержки, это же хорошо... Сама пользуюсь этим хостингом, буду следить за темой... Удачи вам, все могут в такой ситуации оказаться...
 

lukamal

Редактор
Регистрация
30.08.12
Сообщения
803
Реакции
484
Баллы
28
lukamal, всю заботу о сайте и отражении атаки взяла на себя служба техподдержки, это же хорошо... Сама пользуюсь этим хостингом, буду следить за темой... Удачи вам, все могут в такой ситуации оказаться...

У хостера видимо канал перегрузился или сервер стал грузить систему так, что другие сайты стали тормозить и мой сайт заблокировали до окончания DDOS атаки. А сколько она продлится не известно. Пошёл у ящи спрашивать, что делать. :crazy:
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Что можете посоветовать!
Сменить хостера.


lukamal, всю заботу о сайте и отражении атаки взяла на себя служба техподдержки, это же хорошо...
На любом виртуальном хостинге отражение ddos это служба техподдержки. Если свой сервер, тогда это проблемы владельца сайта.

на самом деле скорее всего ничего они не отражают, а просто заблокировали сайт и ждут пока атака закончится. Если она на самом деле есть.

Пошёл у ящи спрашивать, что делать

Яша вам ответит ждать.
 

lukamal

Редактор
Регистрация
30.08.12
Сообщения
803
Реакции
484
Баллы
28
Пообщавшись с ящей нашёл следующее решение

1. Посмотрел файл access_log и стало ясно, что стучат с двух IP адресов 124.238.171.60, 27.189.25.209
2. В корне сайта создал файл .htaccess

в этом файле прописал

Order Allow,Deny
# Сначала разрешаем доступ всем
Allow from all
# НО! Запрещаем доступ со следующих адресов
Deny from 124.238.171.60
Deny from 27.189.25.209

через 5 минут сайт стал доступен.

Это была не DDOS атака
в это ветке я писал https://lumtu.com/vbulletin-4-x-x/3...h-dopolnitel-nye-voprosy-pri-registracii.html про хак NoSpam.
Несколько дней назад стучалка стала закидывать спам по этому то и поставил хак.
Вот эта стучалка и стала усиленно пытаться регистрироваться. По log файлу она сделала 679678 запросов за 4 часа 22 минуты. После этого сайт отключил хостер.

Код:
qqqqqqqqq.ru 124.238.171.60 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8840 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8839 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 124.238.171.60 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8835 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8830 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8832 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8845 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 124.238.173.76 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8841 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "GET /register.php? HTTP/1.0" 200 8667 "http://qqqqqqqqq.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8835 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8836 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 124.238.173.76 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8846 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "POST /register.php?do=addmember HTTP/1.0" 200 8831 "http://qqqqqqqqq.ru/register.php?" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "GET /register.php? HTTP/1.0" 200 8668 "http://qqqqqqqqq.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 124.238.173.76 - - [27/Sep/2012:11:15:54 +0400] "GET /register.php? HTTP/1.0" 200 8680 "http://qqqqqqqqq.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 124.238.173.76 - - [27/Sep/2012:11:15:54 +0400] "GET /register.php? HTTP/1.0" 200 8669 "http://qqqqqqqqq.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 27.189.25.209 - - [27/Sep/2012:11:15:54 +0400] "GET /register.php? HTTP/1.0" 200 8669 "http://qqqqqqqqq.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"
qqqqqqqqq.ru 124.238.171.60 - - [27/Sep/2012:11:15:54 +0400] "GET /register.php? HTTP/1.0" 200 8669 "http://qqqqqqqqq.ru/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1;)"

Всё это навело на мысль, что завалить сайт сможет любой школьник, а если будет настоящая DDOS атак придётся платить деньги за защиту!!!
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
Вот эта стучалка и стала усиленно пытаться регистрироваться. По log файлу она сделала 679678 запросов за 4 часа 22 минуты. После этого сайт отключил хостер.

lukamal, отличный хостер, я вам скажу! :good: С подобного хостера я бы съехал после первого же прецедента.

124.238.171.60, 27.189.25.209 это китайские прокси. А теперь смотрите. На хрумере, или чем там вам пытаются спамить, меняют прокси и хостер опять отключает вам сайт.


Всё это навело на мысль, что завалить сайт сможет любой школьник
Смотря какой хостер. Подобные проблемы не решаются локально.

а если будет настоящая DDOS атак придётся платить деньги за защиту!!!
Ну а как вы думали. На российских серверах так, и еще вопрос какая будет защита.
 

lukamal

Редактор
Регистрация
30.08.12
Сообщения
803
Реакции
484
Баллы
28
lukamal, отличный хостер, я вам скажу! С подобного хостера я бы съехал после первого же прецедента.

А вы каким хостиногом пользуетесь.

Сегодня устал.
Но думаю вникнуть в проблему поглубже.
Есть мысль разрешить заходить на сайт только с Российских и СНГ IP.
 

Wmboard

Пользователь
Регистрация
01.01.70
Сообщения
9.274
Реакции
2.665
Баллы
28
Адрес
На wmboard
А вы каким хостиногом пользуетесь.

Баннер в хедере в правом углу, например.
Я сотрудничаю с рядом хостинг компаний. Около десятка.

Есть мысль разрешить заходить на сайт только с Российских и СНГ IP.

Интересно как вы их будете сортировать :) А ботов? :) Только у гуглобота целая подсеть IP, а Яхо? Там их вообще сотни :)
 

lukamal

Редактор
Регистрация
30.08.12
Сообщения
803
Реакции
484
Баллы
28
Интересно как вы их будете сортировать :) А ботов? :) Только у гуглобота целая подсеть IP, а Яхо? Там их вообще сотни :)

Вот тут вы правы.
Буду думать о другом хостинге.

[ADMIN="Veter"]Беседа о хостинге перемещена: https://lumtu.com/hosting/3258-posovetuite-nadezhnyi-hosting.html[/ADMIN]
 
Последнее редактирование модератором:

Статистика форума

Темы
200.635
Сообщения
380.523
Пользователи
327.876
Новый пользователь
pm1199
Сверху Снизу