Перейти к содержанию
ol777

Поиск исполнителя (защита сайта)

Recommended Posts

ol777

Здравствуйте,

 

Кто знает есть ли на этом форуме люди оказывающие услуги по аудиту и защите сайта от ddos атак?

На самом сайте anti-malware.ru  этой инфы не нашёл

Хотел обратится за советом к одному форумчанину. - но не могу в ЛС написать. (наверное потому что ещё мало сообщений на форуме)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

@ol777, один человек вам такие услуги не предоставит. Вам нужно купить подписку на соответствующие сервисы или же привлечь специализированную кантору.

 

Мы используем сервис Qualys для анализа уязвимостей. От DDoS защищает Лаборатория Касперского, Qrator, Ростелеком (если у вас их хостинг), западный Prolexic. Все это сервисы и вы просто перенаправляете к ним свой трафик. 

 

Из свежего есть еще сервис Incapsula https://www.incapsula.com/По сути это WAF + защита от DDoS.

 

Можно обратиться в эту компанию http://protosecurity.ru/Я думаю они сделают все, что нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Все эти сервисы не дешёвые, если хотите получить качественную защиту, но не переплачивая рекомендую на выбор:CloudFlare, OVH, знаю пара серверов которые защищают от атак до 10 Гбит/с, переплата всего 5-10-ть баксов, защита на всех уровнях...

 

Отмечу, что OVH это аренда сервера во Франции и защита до 750 Гбит/с, минимальная стоймость 30 баксов, можно конечно и дешевле найти, через ресселера ! :)

 

А вообще какая сила атаки ? Может можно просто сервер настроить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ol777

Guru, спасибо. Рассмотрю эти варианты если подтвердится что это именно ddos атаки были.  Пока проверил в Qualys. 

вот результаты: JCF88Ka.png

Но читать эти результаты надо уметь, не говорю уже про исправление недостатков....

 

Просто у меня последнее время были перегрузки на CPU (хостинг Timeweb) они даже сайт отключали потом стали часто возникать error 502

На перегрузку они мне отвечали "...Ошибка была вызвана тем, что обработчики веб-сервера Apache, запущенные для Вашего аккаунта, были заняты длительным выполнением скриптов (по Вашему текущему тарифу доступно использование 6 обработчиков) В результате этого новые обращения ожидали освобождения обработчика, и по истечению таймаута ожидания на странице отображалась ошибка 502. ...."

 

Один человек сказал что возможно это DDoS атаки. Так я даже не знаю точной причины. Или это атаки или проблемы с wordpress сайтом .....

 

Мутный, я в первом посте про вас и говорил ))  к вам и хотел обратится

Отредактировал ol777

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Посмотрите логи апача, что там такое ?

 

Обычно такое возникает, из-за большого количества обращения к сайту, также это может-быть из-за карявого плагина/скрипта сайта... :)

 

Нефакт что ддос, это может-быть "нашествие" поисковых ботов (Типо яндекс, гугл), это может-быть brute force атака и ещё много-чего...

 

Что-бы точно дать ответ, нужны логи апача...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ol777

мне сказали - "...Вы можете включить лог ошибок error_log в меню "Логи", в данный лог попадают ошибки обработанные apache.....лог же доступа apache может быть предоставлен Вам по запросу.....,"

 

на всеобщее обозрение выкладывать логи наверное небезопасно. Пожалуйста напишите мне в ЛС, я вам с удловольствием покажу error логи ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Пожалуйста напишите мне в ЛС, я вам с удловольствием покажу error логи ))

 

Немогу:

 

 

Обнаружены следующие ошибки:

Пользователь ol777 не может использовать личные сообщения

Личное сообщение не отправлено.

 

Для анализа нужно два типа логов, у апача два типа лог-файлов, распалагаются кстати они обычно в корневой директории пользователя в папке logs, итак:

 

1-ый тип логов это error_log - В этом логе апач пишет ошибки, например ошибки php-скриптов, если где-то доступ запрещён, всё туда пишется, так-же в этих логах можно узнать причину той-же ошибки 502 например...

 

2-й тип логов это access_log - В этом логе пишутся все обращения к серверу, т.е. Get/Post запросы, этот лог позволяет определить сколько было обращений и куда, с каких IP-адресов и т.д.

 

Для анализа как-раз нужен больше access_log лог... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ol777

error_log исписан строками типа:

 

[sat Sep 05 13:25:38 2015] [error] [client 64.39.103.191] PHP Warning:  session_start() [<a href='function.session-start'>function.session-start</a>]: The session id is too long or contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /home/o/olegdv2/public_html/wp/wp-content/plugins/iphorm-form-builder/includes/common.php on line 64, referer: http://site.com/

 

Более 100 страниц log файла за один час с IP адреса 64.39.103.191

 

 

 

access_log с этого же IP большое колличество заходов на разные страницы. (например 8заходов  на одну страницу за секунду)

site.com.com 64.39.103.191 - - [05/Sep/2015:13:25:38 +0300] "GET /free-ea/ HTTP/1.0" 200 46085 "http://site.com.com/" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) 

 

 

 

есть ещё странные как мне кажется :))) записи типа:

 

site.com 64.39.103.191 - - [05/Sep/2015:14:20:31 +0300] "GET / 
HTTP/1.0" 200 47570 "http://site.com/""()  { test;}; echo; QSS_1=A5B2C3 QSS_2=c3h7l9 QSS_3=P8C6h4 QSS_4=$QSS_3:QQ:$QSS_1:qq:$QSS_2 && echo $QSS_4"
site.com 2a03:6f00:1::5c35:724c - - [05/Sep/2015:14:20:28 +0300] "POST /wp/wp-cron.php?doing_wp_cron=1441452028.4708240032196044921875 HTTP/1.0" 200 - "-" "WordPress/4.3; http://site.com"
 
-------------------
 
Что скажите? можно предварительно сказать проблема в сайте(скрипты, плагины) или идёт атака на сайт))
Отредактировал ol777

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ol777

похоже 64.39.103.191  не только меня достаёт

 

Hzy34Ks.png

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Данный айпишник, принадлежит сканеру на уязвимости:https://www.qualys.com/

 


есть ещё странные как мне кажется :))) записи типа:

А тут вообще похоже как-будто проэксплуатировать какую-то уязвимость хотят ! :huh:

 

Вообще wp-cron.php - Это крон вордпресса, попробуйте его отключить, если он не нужен, может он как-раз и грузит сервер ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ol777

Данный айпишник, принадлежит сканеру на уязвимости:https://www.qualys.com/

а, значит тут нормально)

А тут вообще похоже как-будто проэксплуатировать какую-то уязвимость хотят ! Вообще wp-cron.php - Это крон вордпресса, попробуйте его отключить, если он не нужен, может он как-раз и грузит сервер ?

 

так там с этого же IP  64.39.103.191 (qualys.com/) но wp-cron всё равно отключил))

 

 

 

Сегодня опять сайт был недоступен. Провайдер сказал: "

Ошибка была вызвана тем, что обработчики веб-сервера Apache, запущенные для Вашего аккаунта, были заняты длительным выполнением скриптов (по Вашему текущему тарифу доступно использование 6 обработчиков). В результате этого новые обращения ожидали освобождения обработчика.

Мы завершили работу зависших обработчиков, на текущий момент работа сайта возобновлена. Проверьте, пожалуйста."

 

 

Посмотрю завтра что там в логах

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Но читать эти результаты надо уметь, не говорю уже про исправление недостатков....

На перегрузку они мне отвечали "...Ошибка была вызвана тем, что обработчики веб-сервера Apache, запущенные для Вашего аккаунта, были заняты длительным выполнением скриптов (по Вашему текущему тарифу доступно использование 6 обработчиков) В результате этого новые обращения ожидали освобождения обработчика, и по истечению таймаута ожидания на странице отображалась ошибка 502. ...."

 

Предположу, что вас никто не DDoS'ит. Проблема в конфигурации веб-сервера. Какие-то скрипты написаны кривыми руками и при обращении к ним вешают сервер. У нас такая проблема была, например, при выполнении cron для обновления индекса поиска. Там огромная базу данные нужно было перелопатить скрипту и сервер подыхал. Пришлось внутренний поиск по сайту просто отключить.

 

Вам нужен грамотный веб-админ, хотя бы на время. Могу порекомендовать http://www.itsumma.ru/ 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Могу порекомендовать http://www.itsumma.ru/

 

Глянул, я не профи, но мне кажется как-то недёшево там, работал с разными хостингами, также арендовал сервера, для разных целей, так-вот обычно почти у всех хостинг-компаний есть базовая поддержка, которая включена в тариф + в эту поддержку может входить и мониторинг серверов, либо доплата обычно 10-15 баксов, а-то и меньше...

 

Также обычно за 1000 рублей, есть так называемая расширенная поддержка, или разовые работы, которые как-раз и включают работы по оптимизации сервера, выявление проблем с нагрузкой и т.д.

 

Ну и хочется отметить две вещи:

 

1. Админ как-правило не будет править карявые скрипты, но может указать где проблема;

 

2. Админ не сможет помочь, если хостинг физически не справляется с нагрузкой, т.е. большая посещалка и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×