ХЕЛП!!! DDos атака

[MaxD]

Скорее всего сайт лежит не от этих обращений к админке. Попробуйте глянуть (или попросите хостера), какие процессы больше всего грузят сервер, там станет базово понятно - это Apache/Nginx или PHP или MySQL. От этого дальше можно будет плясать. Я ставлю на MySQL )

[Dimasscus]

3 минуты назад, Texture сказал:

да, но они же и сказали, и я с ними согласна, что в моем случае, это не решит проблему, так как их тысячи и они соврешенно разные, т.е. маски вывести не реально

так не маску надо а правило- обратился напрямую к url админки- пошел в бан.

при этом мой вам совет- страны мира тоже закрыть  кроме нужных

[Texture]

28 минут назад, Dimasscus сказал:

так не маску надо а правило- обратился напрямую к url админки- пошел в бан

честно сказать, не нашла такого правила ни в Гуголе ни здесь на форуме, может и проморгала, в поддержке хостинга спрашивала, сказали мой случай https://dash.cloudflare.com/

Змінено 22 грудня 2021 користувачем Texture

[Texture]

33 минуты назад, MaxD сказал:

Попробуйте глянуть (или попросите хостера), какие процессы больше всего грузят сервер

когда прерывали на хостинге все внешние запросы к сайту, сайт восстанавливался. И в первое время после этого- летал. Ошибка была днём, жаль не заскринила, которая сообщала, что пользователь базы данных сайта превысил лимит допустимых к ней обращений. Последний раз такое было, когда мне взломали админку и запустили скрипт, который выполнялся непрерывно, что приводило к нагрузке на базу данных. Тогда я обошлась сменой паролей и восстановлением резервной копии.

В данный момент нагрузку на процессор в 97% создает index.php

Змінено 22 грудня 2021 користувачем Texture

[MaxD]

@Texture И видимо корневой index.php, не админки? У вас при запросах к https://textil.best/admin/ index.php не используется.

Скорее всего вражеская автоматика перебирает список всех URL, которые могут быть уязвимы, а ваш опенкарт на каждый запрос генерирует ответ не найдено с содержимым стартовой страницы, типа https://textil.best/notfound

 

Попробуйте в catalog/controller/error/not_found.php после строчки public function index() { вписать:

http_response_code(404); die("<script>location = '/';</script>");

 

[Texture]

10 минут назад, MaxD сказал:

index.php

да, совершенно верно, корневой index.php, спасибо.

р.с. добавила 

http_response_code(404); die("<script>location = '/';</script>");

долбится всё равно в админку, но нагрузка снизилась в два раза и теперь в допустимых пределах. Спасибо! Посмотрю что будет завтра или вернее сегодня утром, но админку наверное придется перенести и сделать таки ему редирект).

Змінено 22 грудня 2021 користувачем Texture

[Texture]

49 минут назад, sitecreator сказал:

Откуда эти дурные советы?

да откуда... с форума, да со стандартного файла robots.txt

[Malciska]

3 часа назад, Texture сказал:

Думала вот когда зайду на олимп тройки лидеров поиска, ну тогда можно подумать о защите, а до тех пор ну кому нужен мой сайт?)) Но вот уже неделю не могу справиться с всё возрастающей атакой. 

Запросы более тысячи за 5 мин к админке с подбором пароля.

Админку защитила с помощью файла .htaccess и заход только с разрешенного ip, но атаки не прекратились, а всего лишь по утихли не до критического уровня загрузки процессора в 100%, а на 50-60% но на долго ли?

Атаки осуществляет один очень нехороший юзер агент и пыталась я его блокировать любимым способом через .htaccess, но нифига не помагает. Перечитала наверное уже весь Гугол и замучала техподдержку хостинга до икотки. Но толку то нету((.

Может кто-то может подсказать как побороть нехорошего юзер агента. 

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} (Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:62.0) Gecko/20100101 Firefox/62.0) [NC]
RewriteRule .* - [F,L]

Такая конструёвина не помагает ваще(.

 

В помощь

https://perishablepress.com/stupid-htaccess-tricks/#sec7a

[Texture]

4 минуты назад, Malciska сказал:

В помощь

спасибо

[MaxD]

@Texture Рад, что помогло. Перенос админки не даст никакого эффекта. Если нагрузка стала допустимой, можно просто переждать, пока вражеский скрипт переберет все, что у него там прописано - это максимум пару дней.

 

Это явно не DDoS, скорее всего просто на ваш сайт напал какой-то автоматический скрипт, который ищет легкоуязвимые сайты для создания ботнета. Если бы вас сознательно ломали с целью положить или увести магазин - все бы выглядело по другому.

[Texture]

16 часов назад, MaxD сказал:

Перенос админки не даст никакого эффекта

Перенесла админку. Эффект от переноса админки для меня в экономии ресурсов- при закрытии адреса admin при показе сервером страницы 403 передавалось 127КБ данных каждый раз, а при переносе admin и странице 404 на старый адрес- 47КБ. Мелочь при одном заходе, а когда их тысячи- результат экономии ощутим.

 

 

[Texture]

Скачала модуль Messer, заблокировал за две минуты 324 атаки. Пока еще прорываются многие ip к admin, но сегодня хотя бы сайт не ложился. Сказали из службы Messer, что пока модуль адаптируется к типу атаки и в дальнейшем должен заблокировать все прорывающиеся ip. Будем посмотреть.

Спасибо всем за участие в решении проблемы!

[chukcha]

1 час назад, Texture сказал:

Перенесла админку. Эффект от переноса админки для меня в экономии ресурсов- при закрытии адреса admin при показе сервером страницы 403 передавалось 127КБ данных каждый раз, а при переносе admin и странице 404 на старый адрес- 47КБ. Мелочь при одном заходе, а когда их тысячи- результат экономии ощутим.

 

 

смешной показатель

403 - вы можете сами переназначить и будет у вас пусто
404 - увы вы все равно грузите сайт

[Texture]

18 часов назад, chukcha сказал:

403 - вы можете сами переназначить и будет у вас пусто

уже, с помощью Messer удалось выявить и сгруппировать все ip, вследствие чего заблокировать их не составило никакого труда. Модуль показал, что заблокировал 217 ip, я проверила по логам отбитых атак и параллельно заблокировала все выявленные ip на сервере. Число мной проверенных ip и заблокированных модулем совпало. Через некоторое время проверила, все ip заблокированы и получают 403 ответ. Сегодня появилось парочку новых, но уже справиться с ними на много легче.

Змінено 24 грудня 2021 користувачем Texture

[Texture]

сейчас самую большую нагрузку на сайт дает процесс, запущенный во множественном числе index.php/usr/sbin/mysqld, а также /usr/sbin/mysqld поглащает нещадно оперативку из-за этого сайт грузится по 3-4 минуты. Посоветовали на хостинге LiteSpeed Cache. Разбираюсь).

Змінено 24 грудня 2021 користувачем Texture

[niger]

1 час назад, Texture сказал:

сейчас самую большую нагрузку на сайт дает процесс, запущенный во множественном числе index.php/usr/sbin/mysqld из-за этого сайт грузится по 3минуты. Посоветовали на хостинге LiteSpeed Cache. Разбираюсь).

А что у вас за хостинг? У нас на хостинге есть защита от таких ботов(что лезут в админку) обычной гугл капчей. прошел капчу - получил доступ к сайту, не прошел - иди лесом. 

И тогда нет никаких нагрузок. сайт не вызывается вообще для него. Это ж не ддосер, а обычный скрипт перебирающий пароли. А вы сейчас упакуете кучу IP - которые могут быть динамическими какого-то провайдера - и потом клиенты оттуда к вам не попадут. 

 

[Texture]

41 минуту назад, niger сказал:

которые могут быть динамическими какого-то провайдера - и потом клиенты оттуда к вам не попадут

да, я тоже об этом думала, хотела через неделю-другую их удалить из блокиратора. Хостинг, там такого нет к сожалению. Можете подсказать, на каком вы? Честно говоря, как к ним перешла, так и понеслось. Хотя и сайт растет, так что оговаривать их не могу.

[niger]

37 минут назад, Texture сказал:

да, я тоже об этом думала, хотела через неделю-другую их удалить из блокиратора. Хостинг . Честно говоря, как к ним перешла, так и понеслось. Хотя и сайт растет, так что оговаривать их не могу.

Не знаю не сталкивался с ними. Но как по мне капча идеальна для таких случаев. Ну и можно Cloudflare подрубить и убрать все IP не из Украины. Так как вы как и мы тоже из Днепра и остальной мир вам мало интересен

[AlexDW]

как вариант - отключите в поиске принудительный поиск по описаниям товаров

смотрите логи сервера + лог медленных запросов mysql

[chukcha]

18 минут назад, niger сказал:

У нас на хостинге есть защита от таких ботов(что лезут в админку) обычной гугл капчей. прошел капчу - получил доступ к сайту, не прошел - иди лесом. 

Капча - это ресурс, ее ведь надо отобразить

проще резать на слепках (ip, ua, прочих заголовков)
 

[chukcha]

Стесняюсь спросить
Что такое Messer

[niger]

4 минуты назад, chukcha сказал:

Капча - это ресурс, ее ведь надо отобразить

проще резать на слепках (ip, ua, прочих заголовков)
 

Это чистый html со вставкой скрипта из гугла.

Сервер отдает это nginxом не трогая ни php, mysql и всю остальную сервянку(динамику). Пусть долбит html ради бога. 

Змінено 24 грудня 2021 користувачем niger

[niger]

1 минуту назад, chukcha сказал:

Стесняюсь спросить
Что такое Messer

Я уже во второй теме его вижу. Какой-то модуль для опенкарта для защиты от ддосеров.

[chukcha]

2 минуты назад, niger сказал:

Это чистый html со вставкой скрипта из гугла.

Сервер отдает это nginxом не трогая ни php, mysql и всю остальную сервянку(динамику). Пусть долбит html ради бога. 

понял.. тогда наверное норм..
 

[Texture]

6 минут назад, niger сказал:

и остальной мир вам мало интересен

у меня есть англоязычная версия и уже пошли заказы, не много, но всё же. Жаль их терять, я потратила много времени на написание статей, на которые ссылаются в добровольном порядке зарубежные сайты. А это еще и траст сайта.