Сообщений в теме: 60

[Обществовед]

Возможно, какой-то скрипт грузит! Вырубайте все сторонние расширения. Модули, плагины. И включайте по одному, смотрите, что укладывает сайт! 

[Катя (Aki Astarta)]

Кусок из логов сайта:

94.242.146.39 - - [27/Jul/2013:19:02:09 +0400] "POST /ССЫЛКА1/edit HTTP/1.0" 403 - "ССЫЛКА НА СТАТЬЮ1" "Opera/9.80 (Windows NT 6.1; WOW64) Presto/2.12.388 Version/12.12"
94.242.146.39 - - [27/Jul/2013:19:02:09 +0400] "POST /ССЫЛКА2/edit HTTP/1.0" 403 - "ССЫЛКА НА СТАТЬЮ 2" "Opera/9.80 (Windows NT 6.1; WOW64) Presto/2.12.388 Version/12.12"
94.242.146.39 - - [27/Jul/2013:19:02:09 +0400] "POST /ССЫЛКА 1/edit HTTP/1.0" 403 - "ССЫЛКА НА СТАТЬЮ1" "Opera/9.80 (Windows NT 6.1; WOW64) Presto/2.12.388 Version/12.12"

 

И таких несколько десятков тысяч до полной отключки. Айпи - один, браузер и пр.- одинаковое, меняется только время запросов и ссылки, по которым шли запросы на сайт.

Это что может быть? Это ведь какая-то программная ерунда, автоматически создаваемые запросы... 

94.242.146.39 - этот адрес я занесла в список запрещенных, теперь с него не смогут получить доступ к сайту. Но решит ли это проблему?

[Максим (zateh)]

Катя (Aki Astarta), вы раньше сообщали о проблемах с сайтом, похоже, что вы не всю "заразу" с сайта удалили, отсюда и такие проблемы, видимо где-то остался какой-то скриптик вредоносный, возможно в корне сайта! 

[Катя (Aki Astarta)]

похоже, что вы не всю "заразу" с сайта удалили, отсюда и такие проблемы, видимо где-то остался какой-то скриптик вредоносный,

zateh, вполне возможно! Знать бы еще, что за скриптик и как его найти...

[Максим (zateh)]

Знать бы еще, что за скриптик и как его найти...

Попробуйте все скачать и антивирусом прошерстить, или откатитесь (если есть бекап) на дату, до той когда появились проблемы.

[Катя (Aki Astarta)]

Попробуйте все скачать и антивирусом прошерстить, или откатитесь (если есть бекап) на дату, до той когда появились проблемы.

Техподдержка все сайты вдоль и поперек антивирусами прошла (не одним), но ничего не нашли Сейчас опять проверяют, завтра будет видней (уже сегодня...)

[Максим (zateh)]

Катя (Aki Astarta), тут в принципе может быть не вирус, а какой-нибудь хитрый скрипт, который антивирус и не найдет, если есть бэкап сайта на дату, до той когда у вас начались все эти приключения, советую откатиться, а вот если нет, то тогда нужно искать. 

[Loadstone]

Катя (Aki Astarta), есть еще  один хороший способ - обратиться в поддержку хостера.

обычно они в состоянии проверить и сказать откуда ноги растут.

Если уж не совсем точно, то скажут что нужно проверить и как это сделать, по крайней мере будете знать куда смотреть, а не тыкаться вслепую.

Попробуйте, если хостер нормальный - вам помогут добрым советом. 

[Loadstone]

whois показывает что вас грузят с Калуги))

 

% Information related to '94.242.144.0/20AS15468'

route:          94.242.144.0/20
descr:          RU-KLGELECS-20081021 Block 2
descr:          JSC Rostelecomelecom Kaluga branch
origin:         AS15468
mnt-by:         KLGELECS-MNT
source:         RIPE # Filtered

 

чейта я подозреваю, что это либо школьник упражняется в тупом DDOS, либо кто-то подхватил троянца и этот троянец вас засыпает запросами..

Впрочем, это далеко не факт, вариантов масса..

[Сергей (ex-Gudvin)]

Хочу почистить шаблон темы

 

Тут дело уже, похоже, не в шаблоне... Хотя, убрать из него лишний код не помешает.

 

94.242.146.39 - - [27/Jul/2013:19:02:09 +0400] "POST /ССЫЛКА 1/edit HTTP/1.0" 403 - "ССЫЛКА НА СТАТЬЮ1" "Opera/9.80 (Windows NT 6.1; WOW64) Presto/2.12.388 Version/12.12"

 

И таких несколько десятков тысяч до полной отключки. Айпи - один, браузер и пр.- одинаковое, меняется только время запросов и ссылки, по которым шли запросы на сайт.

Это что может быть? Это ведь какая-то программная ерунда, автоматически создаваемые запросы...

 

Судя по ссылке, идёт обращение к директории "edit"... Есть такая пака в корне сайта? Что в ней?

 

94.242.146.39 - этот адрес я занесла в список запрещенных, теперь с него не смогут получить доступ к сайту. Но решит ли это проблему?

 

Сейчас у многих IP динамичный, поэтому блокировать по IP смысла нет... Напротив, так вы можете потом не пустить на сайт пользователя, у которого в будущем окажется данный динамичный IP.

 

Но если запросы идут постоянно с одного и того же IP-адреса, возможно и есть смысл добавить его в список запрещённых, но думаю, опять же, только на время решения проблемы.

 

Возможно, также, запросы делает какой-то кривой плагин... Попробуйте отключать по очереди установленные плагины и одновременно мониторить логи.

 

если есть бэкап сайта на дату, до той когда у вас начались все эти приключения, советую откатиться, а вот если нет, то тогда нужно искать.

 

Проблема, насколько я помню давнишняя, поэтому откат получиться далеко назад... Думаю, не стоит этого делать, а лучше найти и ликвидировать проблему без откатов.

[elizavetta]

Екатерина!

 

Во-первых, нагрузка 100-20 переходов с рассылки даже на самом маломощном shared хостинге не должна создавать проблем.

 

По виду запроса, понятно, что это  похоже на  slow HTTP. 

 

"Slow HTTP POST атака работает следующим образом: злоумышленник отправляет POST заголовок с легитимным полем «Content-Length», которое позволяет веб серверу понять, какой объём данных к нему поступает. Как только заголовок отправлен, тело POST сообщения начинает передаваться с очень медленной скоростью, что позволяет использовать ресурсы сервера намного дольше, чем это необходимо, и, как следствие, помешать обработке других запросов."

 

Можно попробовать заблокировать IP-адреса, с которых идут запросы. Но глобально это не поможет. 

Вот здесь есть подробные варианты блокировок через .htaccess  http://forum.searche...p/t-781676.html

 

С практической точки зрения, проще всего либо попробовать разные хостинги, так как там могут быть разные настройки сервера. 

На длинной дистанции же больше времени сэкономит свой сервер. Вам нужно просто проплатить его и дать задание админу-фрилансеру правильно настроить+перенести сайты, много времени не займет.  

[Катя (Aki Astarta)]

если есть бэкап сайта на дату, до той когда у вас начались все эти приключения, советую откатиться, а вот если нет, то тогда нужно искать.

Искать нужно в любом случае, ведь только так можно точно понять причину, устранить ее и не получить в следующий раз аналогичной проблемы. Поиск развивает
А возврат сделать можно всегда (хоть это и проблематично, так как было много обновлений).
 

есть еще один хороший способ - обратиться в поддержку хостера. обычно они в состоянии проверить и сказать откуда ноги растут.

Loadstone, сделала это сразу. Там, правда, отзывчивые ребята, но они могут быть заинтересованы в том, чтобы я перешла на более дорогой тариф. Их основное предположение - атака на сайт; насколько оно подтверждено или нет, пока непонятно.
Если есть коммерческая заинтересованность, объективность оценки ситуации обычно падает. Поэтому я и на форуме спрашиваю: здесь разные люди, есть те, кто сталкивался, есть те, кто знают, подскажут. Да и просто поддержка (не техническая, а человеческая) дорогого стоит.

 

whois показывает что вас грузят с Калуги))

Я могу пользоваться хуизом Не факт, что это именно Калуга. Есть способы подмена айпи, даже я, валЯнок, знаю несколько...

 

Тут дело уже, похоже, не в шаблоне... Хотя, убрать из него лишний код не помешает.

Да, Сергей, похоже, совсем не в нем.

 

Судя по ссылке, идёт обращение к директории "edit"... Есть такая пака в корне сайта? Что в ней?

Не нашла такой папки.
Я так поняла, что это команда такая POST /ССЫЛКА 1/edit HTTP/1.0
Вт тут нашла похожее описание http://joomlaforum.r...;topic=257450.0

 

Возможно, также, запросы делает какой-то кривой плагин... Попробуйте отключать по очереди установленные плагины и одновременно мониторить логи.

Имеет значение, что новых плагинов давно не устанавливалось? Только супер кеш после первой "бомбардировки" по рекомендации провайдера. Плюс обновления самого движка и плагина All In One SEO Pack.

 

Во-первых, нагрузка 100-20 переходов с рассылки даже на самом маломощном shared хостинге не должна создавать проблем.

elizavetta, спасибо за развернутый ответ. Наверняка вы в этом правы, просто дважды была такая ситуация именно в течение 1-2 часов после рассылки. Поэтому возникло самое простое предположение, хотя, конечно, "после" не означает "вследствие"

С практической точки зрения, проще всего либо попробовать разные хостинги, так как там могут быть разные настройки сервера.

То есть также возможен и вариант, что у этого хостера - "дырявый" и незащищенный сервер?
Мне все-таки интересно, к какому выводу придет техподдержка и какие рекомендации даст (пока молчат, хотя сайт подключили несколько часов назад).

 

На длинной дистанции же больше времени сэкономит свой сервер.

Да, мне хостер предложил виртуальный сервер (настройка и перенос делает бесплатно техподдержка), об этом уже думала, как и о смене хостинга.
Но хотелось бы знать причину возникшей проблемы, прежде, чем принимать решение.
Пока одни догадки

[Сергей (ex-Gudvin)]

мне хостер предложил виртуальный сервер (настройка и перенос делает бесплатно техподдержка), об этом уже думала

 

Надеюсь, Вы не серьёзно... Какой нафиг сервер с такой посещаемостью!

 

В связи с таким предложением даже появилось пусть фантастическое, но предположение, что хостер сам создаёт нагрузку на сайт, чтобы перевести Вас на более дорогой, по сравнению с хостингом, сервер.

 

Начните с меньшего - переезда на другой хостинг... А предоплаченные деньги попросите вернуть.

 

P.S. Если дадите доступы к адмике и FTP сайта, посмотрю, что у вас там загружено и установлено...

[Катя (Aki Astarta)]

Надеюсь, Вы не серьёзно... Какой нафиг сервер с такой посещаемостью!

Сергей, ну что ж вы в меня совсем не верите? А перспективы?

 

Если серьезно, то поскольку ситуация такая аховая в первый раз, то пришлось подумать обо всем: и о новом хостере, и о смене тарифа, и о VPS, и о фрилансерах, и о многом-многом другом. С учетом того, что "техник" из меня слабый, а проблема - техническая, то в общем-то мои реакции (паника, истерика, ужос-ужос-ужос) вполне закономерны.

 

Исход ситуации: вердикт техподдержки хостера: ddos-атака на сайт. 

 

Естественно, что про переход на другой тариф (или VPS) в этом случае не может быть и речи. На мою просьбу подсказать методы профилактики, хостер порекомендовал подключиться к cloudflare  - сервис ускорения и защиты сайта. Про обеспечиваемую сервисом cloudflare безопасность на корявом русском можно прочитать на https://ru.cloudflar...tures-security  Я уже подключилась (а че, бесплатно же), что получится, какие негативные стороны  обнаружатся - посмотрим.

 

В связи с таким предложением даже появилось пусть фантастическое, но предположение, что хостер сам создаёт нагрузку на сайт, чтобы перевести Вас на более дорогой, по сравнению с хостингом, сервер.

Тоже были такие мысли, каюсь. Хотя обычно стараюсь не думать о людях плохо раньше времени Тем более, что я на этом хостинге 2,5 года, и особых проблем раньше не было, и ребята всегда помогали-отвечали. Ну и плюс конечный вывод: это ддос и все предложения по переходу на VPS сняты.

 

P.S. Если дадите доступы к адмике и FTP сайта, посмотрю, что у вас там загружено и установлено..

Сергей, спасибо. Я напишу вам в личку.

[Катя (Aki Astarta)]

P.S. Если дадите доступы к адмике и FTP сайта, посмотрю, что у вас там загружено и установлено..

Сергей, спасибо. Я напишу вам в личку.

Сергей, огромнейшее спасибо, что уделили время моему вопросу и посмотрели сайт/ы/.
 
Вот такое спасибо
 

 
Для меня очень ценно ваше мнение
 
Хостинг буду менять.
 
roben, jaguar, zateh, Обществовед, Loadstone, elizavetta, спасибо за ваши подсказки и комментарии в теме. С такой компанией мне уже ничего не страшно: ни перегруженные сервера, ни 403 ошибки, ни ддос-атаки

(С меня еще плюсики)

[mikey]

Относительно нагрузки в хостах.
Так у меня сейчас более 10 человек в день редко, когда на блоге бывает.

Но все равно хостер считает перегрузку.

Правда писем мне не пишет.

А так посмотрел.

Нагрузку создают не только темы и плагины.

Но и картинки.

А также разные сервисы.

Поэтому я бы первым  делом минимизировал бы все внешние ссылки. Да и картинки тоже

[Vital1981]

1. Левый хостинг. Где результаты теста?

2. или Вас кто надо использует в качестве прокси=)

[Катя (Aki Astarta)]

1. Левый хостинг. Где результаты теста? 2. или Вас кто надо использует в качестве прокси=)

Vital1981, это вы с кем сейчас разговаривали?

 

Поэтому я бы первым делом минимизировал бы все внешние ссылки. Да и картинки тоже

mikey, да, внешние ссылки + картинки+тема+плагины+еще что-то там создает определенную нагрузку на хостинг. Но что-то мне подсказывает, что даже при оптимизации-минимизации всего этого добра ддос-атака останется ддос-атакой

[mikey]

mikey, да, внешние ссылки + картинки+тема+плагины+еще что-то там создает определенную нагрузку на хостинг. Но что-то мне подсказывает, что даже при оптимизации-минимизации всего этого добра ддос-атака останется ддос-атакой

Ну если вы серьезно  предполагаете, что вас кто-то доссит.

Но насколько знаю атаки на наши маленькие сайты долгими не бывают.
Лично я могу предполагать, кто меня временами атакует.

Но не хочется представляться параноиком

И исходя из этого я совсем не использую такие вещи, как релиз.
Как массовую рекламу всего по всем каналам в один день.

Чтобы не было так, что из-за какого-то урода.
Вся работа пошга на смарку...
 

[Катя (Aki Astarta)]

Ну если вы серьезно предполагаете, что вас кто-то доссит.

mikey, вердикт "ддос-атаки" вынесли в техподдержке хостера, подтвердили и другие люди, которые в теме гораздо больше, чем я. Не знаю, правы они или нет, потому что надо разбираться в теме, чтобы знать   Но я им верю.

 

Лично я могу предполагать, кто меня временами атакует.

Но не хочется представляться параноиком

У меня тоже есть предположения, хотя я не параноичка Но, насколько я понимаю, эти предположения так и останутся предположениями, потому что проверить их - невозможно.

 

Чтобы не было так, что из-за какого-то урода. Вся работа пошга на смарку...

Из-за одного урода вся ваша работа никогда не пойдет на смарку.

 

И исходя из этого я совсем не использую такие вещи, как релиз.
Как массовую рекламу всего по всем каналам в один день.

Волка боятся - в лес не ходить.

Интересно, что вы используете вместо релиза? Хотя это, наверное, уже будет явным оффтопом