Помогите! DDOS атака на сайт (ocstore_v1.5.1.3) SOS!

[tirpits]

Здравствуй сообщество!

Вот информация которую я написал на другом форуме где мы также обсуждали DDoS.

DDoS и Dos атаку отбить можно!

Итоги:

Если хост заблокирует ваш сайт по этой причине во первых вам нужно добраться до лог файлов сайта, сделать это можно по протоколу SFTP-SSH ничего сложного здесь нет например в FileZilla создаете "Новый сайт" в поле хост: Ваш_домен.ru, Порт: 22, Протокол: SFTP-SSH, далее пользователь и пароль как обычно, затем Соединиться.

Всё, вы на месте.

Затем ищете папку с лог файлами на одном хосте у меня называется logs на другом access-logs вообщем понятно. Заходите в эту папку скачиваете лог файл на комп.

Открываем файл (у меня Notepad++) - запрос паразит выглядит так:

83.149.9.113 - - [12/Apr/2012:00:22:19 +0400] "GET /SXIJRO HTTP/1.0" 200 276 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0)" - это реальный запрос и таких будет тысячи, они все одинаковые их сразу видно.

Естественно здесь нас интересует IP - копируем его и смотрим в Яндексе от куда он, в данном случае это сервер gprs Мегафона - у них динамические ip 83.149.9. и 83.149.8. меня досили с них...

> 83.149.9.170

> 83.149.8.144

> 83.149.9.113

> 83.149.9.9

> 83.149.8.203

Если на вашем хосте есть черный список по IP то блокируем всю ветку 83.149 (без точки)

Если на хосте нет черного списка то в файл .htaccess в корне вашего сайта вносим это:

#/отключение по ip адресу

<Limit GET POST>

order allow,deny

deny from 83.149

allow from all

</Limit>

Сложнее будет если атака идет через прокси сервер но всё равно можно, тяжело, но можно потягаться... - шаг за шагом "отрезать" вредные IP. Ну а если будет статический IP значит школьник балуется... В первую очередь когда вас досят это тяжело морально НО когда вы знаете как это происходит и можете бороться становится легче...

Хочу добавить: у gprs любого оператора есть свои сервера (2-3 или больше), если атака по ним то это вообще не беда, это уже проблема того кто вас достает (придется симки операторов менять), тупо блокируйте все gprs ветки этих операторов, правда владельцы девайсов тоже не зайдут к вам на сайт но потом можно убрать защиту...

Конечно результата они своего добьются, они же вас не предупредят о атаке) вам остается слушать оператора хоста что пока атака не прекратится сайт будет заблокирован, а у вас даже доступа по ftp к нему не будет (у меня не было). В большей степени - когда идет массированная атака из многих городов и стран тут уж.... но такие атаки организовывает большое количество людей да еще компьютеров-зомби и направлены они как правило на сайты больших компаний или правительственные сайты где только таким количеством их можно положить, в моем случае я думаю конкуренты побаловались и я конкретно их остановил, каждый день они включали эту карусель, сидеть и ждать когда им надоест? я пошел таким путем и все прекратилось...

Спасибо за внимание! Всем удачи!

[Гість brk]

Да, но e-commerce это и есть то направление которое попадает под дидос в первую очередь!

Конкуренция понимаете ли не всегда старается биться по-чесноку.

Отсюда вывод: делаешь магазин в интернете - запасись хорошим сервером, так чтобы гигабитную атаку не почувствовал!
А если сервант начал кашлять уже на 1500и запросах в минуту, то это смешно а не DDos
Хотя чем больше Вы, Уважаемые вэб-мастера делаете  таких ошибок, тем больше работы для профессионалов :)

[Yoda]

Вот все таки интересно чем закончились мытарства топикстартера, набрался ли он ума и переехал на вменямый хостинг ?

[NathanD]

Хотя чем больше Вы, Уважаемые вэб-мастера делаете  таких ошибок, тем больше работы для профессионалов :)

Кокой то бред написан, с какого вебмастер должен про сервер и запросы думать? - это забота админа, или по вашему мнению "профессионал" это тот который и nginx скомпилит и апач установит и сайт сверстает и дизайн нарисует на бубне сыграет? к вашему сведению у 90% веб-дизайнеров и веб-мастеров вообще к настройкам сервера доступа нет :mellow:

[afwollis]

не уходите от вопроса, обсуждаемого в данной теме.

[Yoda]

тема кстати интересная, вебмастер - это вебмастер, я блин могу и рекламу в гугле настроить, и контроллер поправить, и ссылки закупить, и пхп ини поправить если надо, и ниче с меня не облезло....

и свои магазины и магазины клиентов работают как часы... а вот по теме ддос мне очень интересно, потому что я б с удоволсьтвием положил пару демпингующих конкурентов сам, да и на будущее надо понимать что делать, если меня будут атаковать, к счастью это достаточно сложно учитывая особенности моего хостинга, но все же...

И еще раз обращаюсь к топикстартеру, чем закончиласть коррида ?

[tirpits]

А если сервант начал кашлять уже на 1500и запросах в минуту, то это смешно а не DDos

И еще раз обращаюсь к топикстартеру, чем закончиласть коррида ?

1. На хосте есть режим "турбо" увеличение всего в 4 раза, это не помогло.

2. Пока ни чем, пока смотрю что дальше будет, думаю что может случайно попал под раздачу)))

[dess81]

Глупость какая-то. Давно бы съехал на другой хост. Даже если останутся деньги на хосте, то избежишь проблем в будущем. Я работал с 5 разными хостинговыми компаниями, и ни одна не банила мой сайт из-за ДДос атак.

Нужно ценить свое время. Даже если хостинг проплачен на 1500 рублей вперед, мучения в 3 дня намного дороже стоят в финансовом плане. Время - деньги. А потеря денег - тоже хороший опыт на будущее.

[Alexufo]

Провайдер абсолютно прав, что отключает сайт при дос аттаке. Это прописано у каждого хостера. Вы не обязаны страдать, если вашего соседа ддосят. Читайте договора, там все написано.

[dess81]

Провайдер абсолютно прав, что отключает сайт при дос аттаке. Это прописано у каждого хостера. Вы не обязаны страдать, если вашего соседа ддосят. Читайте договора, там все написано.

Максимум, что делает добропорядочный хостер - это отключает площадку на время, чтобы "соседи" не страдали. Но при этом нормальные хостеры сами исправляют причины, а не отсылают проблему вам же.

[NathanD]

кстати один из действенных способов защиты от ddos атак от всякого рода пионеров-любителей является элементарное ограничение количества коннектов с одного ip в настройках сервера, на крайняк можно прописать правило бана при определённом количестве одновременных обращений с одного ip, но второе не лучший способ, а от атаки профи когда запросы идут с сотен или даже тысяч серверов помогает только отключение сайта, хостер тут только или может своими мощностями их выдержать или отключить атакуемый адрес.

[Гість]

Люди здесь кто нибудь понимает в настройке серверов на базе UNIX ? , мне кажется нет, суть прерывания Ddos видимо тоже никто не понимает. Как то делал для себя когда-то CMS-ку она изначально была к сожалению обречена на атаки, тогда нашел вариант чтобы больше 1500 запросов в минуту не происходило, иначе блок IP, если кто-то знает вариант легче прошу дать хотя-бы идею. И еще раз хочу сказать это самый простой способ, есть способы похитрее и элегантнее, но без обращения к хостеру у вас конечно нет вариантов.

И кстати выше по ветке видел ответ про блокировку целых масок IP, хочу сказать этот способ заблокирует очень большое множество добропорядочных пользователей тоже, потому что мобильные операторы и не только предоставляют не статические адреса а динамические в этот ряд можно и записать прокси сервера, есть возможность потерять до 40% клиентов, для предотвращения такого существуют скрипты сравнения многих других параметров обращения по http к серверу.

Трудно предсказать, что вы увидите в процессе реальной атаки, так как атака DdoS может проводиться огромных количеством способов. Типичная атака заваливает порт вашего сервера SYN пакетами. Цель состоит в том, чтобы максимально занять вашу систему создаваемыми подключениями, чтобы у нее больше ни на что не оставалось ресурсов. В данном случае вы увидите большое количество SYN пакетов. В рядовых условиях количество пакетов разных типов примерно одинаково.

Выводы очевидны, узкие места в во всех версиях Опена это неоптимизированные обращения к базе, в первую очередь граммотная атака будет нацелена именно на это.

Вообще можно открыть отдельную ветку форума для защиты магазов на основе Опена, потому что информации очень много и несколькими сообщениями ничего нельзя конкретно предложить.

[Гість]

Провайдер абсолютно прав, что отключает сайт при дос аттаке. Это прописано у каждого хостера. Вы не обязаны страдать, если вашего соседа ддосят. Читайте договора, там все написано.

Не всегда, можно закрывать запросы до обращения к порту сервера.

А если сервант начал кашлять уже на 1500и запросах в минуту, то это смешно а не DDos

И еще раз обращаюсь к топикстартеру, чем закончиласть коррида ?

1. На хосте есть режим "турбо" увеличение всего в 4 раза, это не помогло.

2. Пока ни чем, пока смотрю что дальше будет, думаю что может случайно попал под раздачу)))

Возможно также защитить даже соседей от ддос но это уже другая история конечно и без обращения к настройкам php это к сожалению невозможно.