Yoda

Дружище, вп не может быть не дырявый. С тем количеством пользователей, которые юзают вп, он не то что под микроскопом, но там даже перхоть ходит по струнке смирно и вымеряет до сотки шажок стежка на пришиваемом воротничке. А Zero-Day никто не отменял. Ну смотрите же вы все друзья шире, это айти, тут всегда есть человеческий фактор.

Опять развели флуд на голом месте. Все проблемы со взломами решаются несколькими простыми методами: 1 - сервер не может выполнить ничего в мир кроме index.php в корне и в админке. 2 - сервер не реагирует на запросы в строке бразуера вида ../ и еще на вагон потенциальных уязвимостей, которые можно воткнуть в строку браузера или заслать в POST DATA, также SELECT() SLEEP RANDOM и так далее не пролазит в POST B GET. 3 - на сервере отключен вывод ошибок и доступ к логам. 4 - доступ в админку, phpmyadmin, в панель управления сервером ограничена по ip. Ломайте, переломайте, обломайтесь. И давайте без холиваров, про соседние взломанные сайты, кривые модули. Я говорю о ситуации, когда кроме opencart нет больше ничего в аккаунте и все модули куплены легально. В 99% случаев, очень долго и нудно можно разбираться как и через что ломают, намного проще построить железобетонную стену, через которую могут прорваться не только лишь все.

Да сколько ж раз вам всем можно писать. Методология подсчета нагрузки связана с количеством уникальных посещений нелинейно! Существуют магазины в которых может быть 1000 посещений и 20 глубина просмотра, и может быть 10к уников и глубина просмотра страниц - 2. На 90% магазинов, которые попадают ко мне в руки проблемы с индексацией, мало того что гуглбот в последнее время стал очень агрессивен, так еще и все чаще и чаще наплевательски относится к правилам robots.txt. А кроме гуглбобота есть еще 5-7 активных зверей, сеошники конкурентов с лягушками, и много чего еще, что топчется по вашим страницам магазина. Очень часто запросов от ботов бывает в несколько раз больше чем живых посетителей. При чем эта разница может быть на несколько порядков, если у вас много товаров и некорректно настроенная индексация. Еще одна тенденция сравнивать несравнимое. Как часто я слышу этот вопрос: а сколько мне ядер надо и памяти на VPS? А ответа на него не может быть однозначного, потому что сервер серверу рознь, и разница приблизительно как между БМВ и Мерседес и то и то машины, но БМВ может быть новая, а Мерседес ломахтых годов. А еще бывают жадные хостеры, которые хоть и заявляют что ваши ресурсы ваши - но они далеко не ваши, так как оверселлинг ресурсов может быть тройной! Также необходимо учитывать скорость генерации страниц или ttfb магазина. Магазин на 100-150 мс на тех же мощностях, может обработать в десять раз больше покупателей, чем магазин в 1-1.5 сек. Из, скажем так, совсем рекордных проектов, к которым я приложил руку, есть магазин с 50к уников в сутки, но с мелкой глубиной просмотра - около 2-3, и есть магазин в котором 20-25к в день бывает в пике в дни акций и распродаж, но это шмотье, а женщины очень любят полазить посмотреть, поэтому там глубина просмотра 15-25 страниц на человека, ну и в пик может быть до 1.5к одновременных посетителей. В целом нормальный впс на 2 ядра 2 гига на свежих процессорах и у хостера, который не сильно жадничает с оверселлнигом, легко держит 5-6к уникальных посетителей с номенклатурой товаров до 10-15к. И еще - не стоит забывать, что ресурсы сервера - это как колбаса в холодильники, если у тебя килограм колбасы - у тебя килограм колбасы, а если у тебя на сервере какой-то поток занял одно ядро, а второго нету, в этот момент могут чудесным образом образовываться собачьи кучи из висячих потоков, которые выгрызают в итоге все ресурсы сервера и не дают системе нормально работать. Поэтому всегда при покупке VPS имеет смысл держать хотя бы тройной свободный запас от существующей нагрузки, дабы система всегда работала стабильно, а не прыгала судорожно в потолок от каждого крона как у @niger на графике. И еще, что касаемо графика ТС по нагрузке. Не обязательно подобный всплеск обусловлен наплывом трафика, в ISP присутствует проблема, с режимом работы fast-cgi php-fpm, в следствие которых система плодит потоки php-fpm и не убивает их должным образом, из-за чего в какой-то момент все ресурсы оказываются заняты холостыми процессами. (в 6ой версии панели это исправили, но не до конца, и при миграции с 5ой, могут возникать вопросы).

Ну вычислил ты его и что? Монтажной пеной в анус? Так это уголовно наказумо, да и в нашем случае парень откуда-то из шпротных ресупблик. Ну и нам с айпи с Украины сделали такой поток запросов, что все бы так или иначе лежало. Хочешь убить ддосера - ищи его ошибки! И блочь по сигнатурам!

Ну ВОЛЕР! Вряд ли ты видел 1.5м запросов в минуту.

Пожалуй рискну рассказать вам не очень приятную историю, которая приключилась со мной и мои товарищем неделю назад. Воскресенье вечер, в отличной компании сижу, пью пиво, ем мясо, и у меня начинает разрываться телефон. У одного моего друга лежит сайт. Бросаю все, захожу на сервер, включаем mytop htop и видим огромное количество висячих запросов. Ну подумаешь бывает, школьники балуются. Добавляем ресурсы php-fpm для этого товарища, включаем кеш html страниц магазина (модуль турбо), включаем nginx базовую защиту от атак https://www.nginx.com/blog/mitigating-ddos-attacks-with-nginx-and-nginx-plus/, и спокойно возвращаюсь к мясу и пиву с чувством выполненного долга и ощущением, что этот тупой малолетка, может дальше ддосить сколько угодно. И вроде бы было все ок, если бы в понедельник, опять я не получил оборванный телефон и скрины в телеграм такого толка: Кароче привет 90ые, нас поставили типа на счетчик. Ну и да реально выделенный сервер, не ВПС на 8 ядер и 64гб памяти лежит и валяется. При попытке перезагрузить сервисы, они зависали тут же. Тут мне стало очень интересно. У меня достаточно большой опыт борьбы с подобными товарищами, но вот этот оказался очень активный и агрессивный. Нашел магазин, у которого специфика ассортимента, когда декабрь перед новым годом, за месяц год кормит, купил ботнет и решил заработать деньжат. 200 + 30 в час - это за сутки 200 + 720 - фактически 1000 долларов, и не будь меня за спиной у нашего потерпевшего магазина, он бы их и заплатил, так как потери несопоставимы, и ведь неизвестно сколько это может длиться. Вот вам небольшая статистика за сутки про мощность атаки: Всего-навсего полмиллиарда запросов на веб сервер за сутки! В пик у нас было: 28м запросов на сервер в 15 минут, у есть подозрение, что в гугл столько запросов со всей Украины не приходит за 15 минут. Но мы чудесным образом и отбились, и еще отбили интерес у нашего школьника решившего подзаработать лезть к магазину моего товарища. А теперь пошаговый алгоритм что было сделано. 1 - у меня есть свой скрипт антиддоса, аналогов на гитхабе миллион, ловим всплески за разные периоды времени и блочим айпи. На какой-то период этого хватает, чтобы магазин работал хоть как-то. 2 - Добавляем для вируталхоста новый не засвеченный в мир айпи. Это важно, так как атакующая сторона может работать в обход днс и слать запросы прямо на сервер с нужными заголовками. 3 - Уходим сразу очень быстро под CloudFlare, прячем новый айпи за прокси CF, и проксируем реальные айпи в php магазина и по прежнем продолжаем блочить входящие запросы. 4 - Пока меняются DNS мы не можем закрыть старый айпи, поэтому терпим, но CF направляем на новый и блочим на новом на уровне сервера любые прямые запросы кроме подсетей CloudFlare ну и там всяких офисных, сервисных и домашних айпишников. 5 - Как только http://host-tracker.ru/ показал, что процентов 90 ресурсов из мира видят сайт на ресурсах CLoudFlare блочим старый айпи, при чем желательно на уровне firewall провайдера хостинга, в нашем случае это Hetzner - там есть какой никакой файрвол работающий на уровне их сети и это просто. 6 - Пока идет вся эта котовасия у нас уже куплен платный аккаунт CloudFlare, который позволяет создавать правила для внутреннего файрвола. Первое созданное правило - заблокировать все страны кроме Украины и известных ботов. Еще было штук 10 правил - но они вторичны. 7 - Включаем в CloudFlare максимальный уровень реакции на DDOS, никаких капч никакой фигни. Только блок и все. 8 - Запасаемся попкорном и ждем пока наш упырь-мамкин-ддосер докупает и докупает еще и еще мощностей ботнета, и нифига не получается. В конечном итоге я еще внимательней посмотрел в логи, нашел в них ошибки в серверных заголовках и с вероятностью 99.9% закрыл все обращения нашего парня. Он мог бы купить в 10 раз больше ресурсов, но с таким уровнем подготовки, все равно ничего бы не добился. К чему эта вся статья. Ну во первых я хвастаюсь, с момента возникновения критичных проблем с этим инцидентом, до момента решения, прошло всего порядка полутора часов (правда мониторил я его без сна потом почти сутки). Во вторых. И это пожалуй самое важное. НИКОГДА НЕ ТОРГУЙТЕСЬ С ТЕРРОРИСТАМИ. Даже если вам выставляют подобные угрозы, вы должны понимать, что человек, который пытается подобным образом вымогать деньги, он сам в этот момент попадает на аренду мощностей ботнетов и прокси. Также вы должны знать, что смоделировать идеальный ддос и естественный нативный трафик очень и очень и очень сложно, практически всегда специалист найдет какой-то признак, по которому можно душить паразитные запросы. И еще эти ддосники малолетние - они как гаишники, их цель не задушить ваш магазин, а содрать побыстрому бабла, если вы не идете на контакт и не проявляете никакой реакции - им становится неинтересно, так как мимо проезжает еще много машин, с которых можно состричь и есть еще много сайтов, на которых можно заработать. Любое потраченное время на холостой проект - это минус деньги. Если любому гаишнику обьяснить, что протокол он будет составлять два часа, потому что вы будете думать над каждой буквой объяснения - по закону имеете право, скорее всего он вас отпустит. Если мамкин ддосер будет сразу понимать что он нифига не получит - он пойдет дальше. Даже если ваш магазин заказали конкуренты, это все будет происходить ровно до истечения абонплаты. А если еще вы вовремя среагировали и отбились - то мамкин ддосер со своих вернет деньги за заказ, потратившись за аренду ботнета и прокси серверов. Вот такая вам новогодняя сказочка. Дальше больше! UPD1: Запомните, сравнивать бесплатный Cloudflare, который просто может проксировать ваш трафик и спрятать айпи и платные пакеты - это как сравнивать одноногую косоглазую Бритни Спирс с молодой Памелой Андерсон. Вобщем бесплатный сервис CloudFlare - это просто ничего, и как бы вам не рассказывали тупые саппорты хостеров и специалисты начального уровня с форума и фриланса, он вам НИЧЕМ НЕ ПОМОЖЕТ в случае ддоса! UPD2: Пишу я этот текст не для того, чтобы при любой проблеме вы бежали ко мне, скорее всего если вы придете с улицы с просьбой помочь вы получите отказ. В последнее время очень сильно активизировались различные менеджеры среднего звена и любите поклевать мозг холостыми разговорами. В связи с этим, без рекомендаций от моих друзей или уважаемых участников сообщества, я практически не иду на контакт по каким-либо реализациям. Да я опух, потерял берега, цены себе не могу сложить и так далее, вобщем, называйте как хотите, мне все равно. Данный пост имеет исключительно общеобразовательную миссию, и не является коммерческим предложением или иной рекламой тех или иных моих реализаций! UPD3: Вы спросите - а что нам делать - у нас шаред хостинг за три копейки? Ну тут друзья - я вам не виноват что у вас в 2021 году шаред хостинг, во вторых, очень быстро можно купить какой-нибудь cloud сервер или на хетцнере или на digital ocean, сделать его публичным прокси вашего магазина, скрыть его за CloudFlare и с точно таким же цинизмом, как имея выделенный наблюдать, как корчатся в конвульсиях мамкины ддосеры. Чуть дольше на час-два, но никааааааааких проблем!

Все sql атаки имеют определенные сигнатуры. Можно исключить попытки засадить вам в GET запрос всяческие штуки типа select(, cast( и так далее. Но это полумера, так как есть еще и POST запросы, которые мы можем обработать только на уровне приложения. И тут надо идти в request.php и добавлять правила фильтрации контекста запросов.

Как говорится правда в глаза колет! Продолжайте дальше!

Давайте говорить по честному. Я не знаю что вы хотите, чтобы вам сделали, но я точно знаю, что большинство пользователей с репой от 500-600 баллов здешние наживают несколько больше чем ваша 1000 енотов в месяц. Встрять в какой-то холивар, получить пятно на репутации со скринами, ну оно, не то что того не стоит, а вот совсем никому не надо. Но скорее всего ваш бюджет и задача имеют несколько другие значения. В этой ситуации, как это видится на бережку. У меня есть сложный кейс, за который я хочу кого-то нагнуть за низкий рейт. А за большой рейт, я не готов платить, даже осознавая цену репутацию местных правильных разработчиков. НУ ШТОШ... пойду купить попкорн. upd: Ни разу не видел кейса, который нельзя бы было бы раздробить на этапы и спокойно рисковать парой сотен долларов без несчастья! Так что тут скорее всего или лыжи не едут, или асфальт сильно шершавый!

я как человек, который каждый день воюет с фильтрами и скоростью их работы, могу сказать однозначно, что $40 за ocfilter - это мало. Давайте просто кратко преимущества над всеми фильтрами а не над дрим. 1. Скорость работы - фантастическая. Очень хорошо знаю как это устроено изнутри и почему так, и немного приложил к этому руку 2. Сео. Наверное на протяжении последних полутора лет, мы с коллегами участвовали посильно и помогали в наработке принципов и требований, которые должны быть реализованы в том или ином виде при формировании посадочных страниц фильтра. Ни у одного аналога, даже на 50% нет такой же корректной работы. 3. Простота установки и ингерации с любыми шаблонами/ 4. Отзывчивость автора и техподдержка. 5. Открытый код. 6. Неограниченные возможности кастомизации за счет встроенного API 7. Внятная документация, и админка. @SooR настолько красавчик, что отдает вам ссылку для крона, именно такую как должна быть с учетом вашего окружения php. Дьявол кроется в деталях. 8. Кеш в базу данных, что опять же ведет к повышению производительности, смотрите пункт 1. Но такого функционала тоже нет ни у кого. Могу долго и много рассказывать еще, но думаю этого достаточно.

Пока от коробочных решений один вред. И все с чем их можно сравнивать - это с ничем. Лить в уши пользователям дичь про то что у них за любые деньги из коробки станет получше, но на самом деле нет - это некоторое отсутствие совести. Вставлять в коробочное решение стучалку на свой сервер в виде пингера - это отсутствие совести! Нарушать работу скриптов аналитики и портить пользовательские показатели. Это за гранью. Мое личное оценочное мнение - это попытка наживы на болях владельцев магазинов. Это как продавать поддельные лекарства.

дорогая администрация @Support обратите внимание на эту авторшу, реально меня уже утомило ломать ее модули и делать вечные лицензии для покупателей, у которых по вине ее сервиса лицензий, слетает работа магазинов, я конечно понимаю что ее три строчки кода очень важный и секретный контент, но подставлять из-за своих косяков магазины, которые за пару дней зарабатывают годовой доход этой горе авторши, как то глупо. Может с ней какую беседу разъяснительную провести и объяснить ей, что она делает такие решения ?

Во первых - это родной код opencart. Во вторых на больших магазинах все select элементы создают дикую нагрузку на браузер.

Тут вопрос в том, а настроен ли ваш домен на серверах ukraine? Корректно ли настроены ваши почтовые ресурсные записи DNS? Нет ли модулей, которые дают ошибку ?

Разработчики модулей для попугаев продают попугаев. А не комплексно настроенный магазин, который и быстро работает и с нормальной оценкой PageSpeed. А когда разработчики модулей в погоне за попугаями, ради заработка, рушат работу скриптов аналитики, что ведет за собой просадку в поиске. Ну на них надо не накидываться, а отправлять мести улицы.

Кто такое сказал ?

1550*25(38750 ) + 812 *19(15428) + 487*25(12175) + 236*22(5192) = 71545 - 30% комиссии = 50 081 с 3 апреля 20017. Прошло 55 месяцев. Итого доход ткача 910 долларов в месяц. Не очень густо, и если есть такие когнитивные боли и проблемы, видимо действительно стоит сменить деятельность и пойти на кассу в ATB. Никаких тебе клиентов, проблем, ответственности, изучений рынка, сиди себе пикай штрих-коды 2/2 и вяжи носки в свободное время. А то ты посмотри какой. Тебе деньги заплатили, а ты людям саппорт не готов делать, делишь всех по цвету штанов. Да и модуля то в целом. Ну что это клоны dead cow seo и mass meta, которые требуют большого ума ? Пахнет каким то amway или гербалайфом!

Разбирайтесь с почтой https://www.mail-tester.com/ В помощь! Для проверки зарегистрируйте нового клиента на тестовую почту и покажите сюда результат.

Это узкий круг воспритя, я бы назвал это - творческий идиотизм, понимания в чем суть, с юмором проблема, ну это в целом понятно, И вот эти ваши оценочные личные суждения- типа "я не компетентен", пишу тут бложик для копмпетентных, ты йода, ведешь блог, имеешь опыт переговоров, попадаются всякие. Ну к чему это. Не хочешь слышать критику, так пиши себе в блокнот. А тут публично. Рассказывать кто чего ведет - так расскажи своей теще, для нее это более весомый аргумент. Ты друже написал дичь. которую мы разбираем по косточкам. А кто в чем компетентен, кто что ведет, и какой имеет опыт переговоров, не твоего ума дело. Это совсем тебя не касается. А по факту. Что то вы там говорили про опыт продавцов професиональных, так они что продают? Селедку, рыбу, бананы? Не стройте из себя ..............! Все отлично вы поняли. Ну и если копнуть глубже, ваши модуля, яйца выеденного не стоят. Какая аналитика, какие продавцы.

Каких продавцов, селедкой на базаре? Захади захади мальщик, дшинсы самый лючий? ШТОТЫТАКОЕ, ЕЩЕ РАЗ СПРАШИВАЮ? Как может быть в голове так все запутано глупостями ?

Мотивация у всех одна в целом - вкусно есть, сладко спать. У всех свой бизнес. Просто кто-то делает и делает работу над собой. РЫЛИ?

ХОХО. Есть у меня один товарищ, друг, автор дополнения, очень популярного, я подозреваю, что он топ 3 на форуме, и что я вам имею сказать, наша с ним коммуникация, взаимный саппорт, уважение друг к другу и к подопечным, умение слышать критику, очень здорово помогает всем. Мне, автору дополнения, владельцам магазинов которые избавились от проблем с аналогами, не будем показывать пальцем каких решений, но очень проблемных. И я уверен, что у моего товарища нет ни капли комплексов, что он кому то, что-то должен. При этом он предоставляет великолепный сервис и великолепный саппорт. Почему - потому что не льет слезки, как меня все достали, а работает и делает работу над ошибками! Ну и есть еще человек 10 авторов дополнений, с которыми я коммуницирую регулярно сталкиваясь с ними от @usergio до @Exploits, никто особо не возмущается своей неудачной судьбинушкой, люди просто работают!

Какая то слезливая дичь - абнимите меня, меня преследуют зомби. С людьми можно и нужно дружить. На моей памяти у многих моих друзей-товарищей уже родились дети, поменялось десять машин, появились офисы по 700-1000 квадратов, штаты сотрудников по 50 человек, а когда-то они все были мелкими киосками, и очень многим так или иначе удалось в свое время помочь в кризисный момент, а сегодня люди покупают АМГ и не вылазят с Бали или про кого то пишет Forbes.ru статью на три разворота. Никаких проблем нет в нормальных человеческих коммуникациях с нормальными людьми. А все эти алко-нарко-вампиры и "тымнедолжен за мои 300 рублей" просто идут лесом. Во всех коммуникациях с любыми контрагентами надо быть всегда уверенным в своих способностях и ответственности. Если это присутствует, то дальше есть простой, простейший фильтр. Есть паталогические мозгоклюи, которых интересует процесс а не результат, которым нужны шашечки. Они пытаются вести долгие и нудные диалоги, рассказывать а вот там за морем кур едят и так далее. У вменяемых людей нет такой цели. Их интересует только результат, 99% владельцев магазинов далеки от программизма. И нормальный человек спрашивает три вещи, получится или нет, сколько времени займет и куда деньги. Любые иные ответы, напряжные вопросы, диалоги вида; "а что вы будити делать" - это все попытка пожевать мозги. И такие вот персонажи должны идти бродить ходить и искать равных себе демагогов, у которых достаточно времени и желания жевать эту жвачку вместе. Если вы не можете себе этого позволить потому что вам нужны деньги и вы готовы их зарабатывать со всех и в том числе с мозголюбителей, ну что ж, возвращаемся к первому пункту. Если вы не нашли дружеские долговременные коммуникации с нормальными вменяемыми владельцами магазинов. То так и нойте дальше что большинство - не очень. Ваще есть такая теория, что интеллект на земле - это величина постоянная и она просто спордаически распределеятся среди людей, и чем больше людей, тем больше идиотов, как бы всеобщее образование не старалось эту ситуацию исправить!

Потому что папа говорил уже 10 раз, надо юзать isp у нее есть встроенный мониторинг и она сам все поднимает!

По факту практически да, потому что редис при свопе промежуточных данных очень прожорлив к памяти и если в это время есть какая то еще нагрузка с использованием памяти он падает. Но проблема в том, что mysql поднимается сама, а редис не очень! И если с mysql мы можем играться в конфиги и выделенные буфера-кеши, чтобы оно кушало памяти меньше, то в редис не очень получается.