Перейти к содержанию
ol777

Поиск исполнителя (защита сайта)

Recommended Posts

ol777

Здравствуйте,

 

Кто знает есть ли на этом форуме люди оказывающие услуги по аудиту и защите сайта от ddos атак?

На самом сайте anti-malware.ru  этой инфы не нашёл

Хотел обратится за советом к одному форумчанину. - но не могу в ЛС написать. (наверное потому что ещё мало сообщений на форуме)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

@ol777, один человек вам такие услуги не предоставит. Вам нужно купить подписку на соответствующие сервисы или же привлечь специализированную кантору.

 

Мы используем сервис Qualys для анализа уязвимостей. От DDoS защищает Лаборатория Касперского, Qrator, Ростелеком (если у вас их хостинг), западный Prolexic. Все это сервисы и вы просто перенаправляете к ним свой трафик. 

 

Из свежего есть еще сервис Incapsula https://www.incapsula.com/По сути это WAF + защита от DDoS.

 

Можно обратиться в эту компанию http://protosecurity.ru/Я думаю они сделают все, что нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Все эти сервисы не дешёвые, если хотите получить качественную защиту, но не переплачивая рекомендую на выбор:CloudFlare, OVH, знаю пара серверов которые защищают от атак до 10 Гбит/с, переплата всего 5-10-ть баксов, защита на всех уровнях...

 

Отмечу, что OVH это аренда сервера во Франции и защита до 750 Гбит/с, минимальная стоймость 30 баксов, можно конечно и дешевле найти, через ресселера ! :)

 

А вообще какая сила атаки ? Может можно просто сервер настроить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ol777

Guru, спасибо. Рассмотрю эти варианты если подтвердится что это именно ddos атаки были.  Пока проверил в Qualys. 

вот результаты: JCF88Ka.png

Но читать эти результаты надо уметь, не говорю уже про исправление недостатков....

 

Просто у меня последнее время были перегрузки на CPU (хостинг Timeweb) они даже сайт отключали потом стали часто возникать error 502

На перегрузку они мне отвечали "...Ошибка была вызвана тем, что обработчики веб-сервера Apache, запущенные для Вашего аккаунта, были заняты длительным выполнением скриптов (по Вашему текущему тарифу доступно использование 6 обработчиков) В результате этого новые обращения ожидали освобождения обработчика, и по истечению таймаута ожидания на странице отображалась ошибка 502. ...."

 

Один человек сказал что возможно это DDoS атаки. Так я даже не знаю точной причины. Или это атаки или проблемы с wordpress сайтом .....

 

Мутный, я в первом посте про вас и говорил ))  к вам и хотел обратится

Отредактировал ol777

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Посмотрите логи апача, что там такое ?

 

Обычно такое возникает, из-за большого количества обращения к сайту, также это может-быть из-за карявого плагина/скрипта сайта... :)

 

Нефакт что ддос, это может-быть "нашествие" поисковых ботов (Типо яндекс, гугл), это может-быть brute force атака и ещё много-чего...

 

Что-бы точно дать ответ, нужны логи апача...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ol777

мне сказали - "...Вы можете включить лог ошибок error_log в меню "Логи", в данный лог попадают ошибки обработанные apache.....лог же доступа apache может быть предоставлен Вам по запросу.....,"

 

на всеобщее обозрение выкладывать логи наверное небезопасно. Пожалуйста напишите мне в ЛС, я вам с удловольствием покажу error логи ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Пожалуйста напишите мне в ЛС, я вам с удловольствием покажу error логи ))

 

Немогу:

 

 

Обнаружены следующие ошибки:

Пользователь ol777 не может использовать личные сообщения

Личное сообщение не отправлено.

 

Для анализа нужно два типа логов, у апача два типа лог-файлов, распалагаются кстати они обычно в корневой директории пользователя в папке logs, итак:

 

1-ый тип логов это error_log - В этом логе апач пишет ошибки, например ошибки php-скриптов, если где-то доступ запрещён, всё туда пишется, так-же в этих логах можно узнать причину той-же ошибки 502 например...

 

2-й тип логов это access_log - В этом логе пишутся все обращения к серверу, т.е. Get/Post запросы, этот лог позволяет определить сколько было обращений и куда, с каких IP-адресов и т.д.

 

Для анализа как-раз нужен больше access_log лог... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ol777

error_log исписан строками типа:

 

[sat Sep 05 13:25:38 2015] [error] [client 64.39.103.191] PHP Warning:  session_start() [<a href='function.session-start'>function.session-start</a>]: The session id is too long or contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /home/o/olegdv2/public_html/wp/wp-content/plugins/iphorm-form-builder/includes/common.php on line 64, referer: http://site.com/

 

Более 100 страниц log файла за один час с IP адреса 64.39.103.191

 

 

 

access_log с этого же IP большое колличество заходов на разные страницы. (например 8заходов  на одну страницу за секунду)

site.com.com 64.39.103.191 - - [05/Sep/2015:13:25:38 +0300] "GET /free-ea/ HTTP/1.0" 200 46085 "http://site.com.com/" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) 

 

 

 

есть ещё странные как мне кажется :))) записи типа:

 

site.com 64.39.103.191 - - [05/Sep/2015:14:20:31 +0300] "GET / 
HTTP/1.0" 200 47570 "http://site.com/""()  { test;}; echo; QSS_1=A5B2C3 QSS_2=c3h7l9 QSS_3=P8C6h4 QSS_4=$QSS_3:QQ:$QSS_1:qq:$QSS_2 && echo $QSS_4"
site.com 2a03:6f00:1::5c35:724c - - [05/Sep/2015:14:20:28 +0300] "POST /wp/wp-cron.php?doing_wp_cron=1441452028.4708240032196044921875 HTTP/1.0" 200 - "-" "WordPress/4.3; http://site.com"
 
-------------------
 
Что скажите? можно предварительно сказать проблема в сайте(скрипты, плагины) или идёт атака на сайт))
Отредактировал ol777

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Данный айпишник, принадлежит сканеру на уязвимости:https://www.qualys.com/

 


есть ещё странные как мне кажется :))) записи типа:

А тут вообще похоже как-будто проэксплуатировать какую-то уязвимость хотят ! :huh:

 

Вообще wp-cron.php - Это крон вордпресса, попробуйте его отключить, если он не нужен, может он как-раз и грузит сервер ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ol777

Данный айпишник, принадлежит сканеру на уязвимости:https://www.qualys.com/

а, значит тут нормально)

А тут вообще похоже как-будто проэксплуатировать какую-то уязвимость хотят ! Вообще wp-cron.php - Это крон вордпресса, попробуйте его отключить, если он не нужен, может он как-раз и грузит сервер ?

 

так там с этого же IP  64.39.103.191 (qualys.com/) но wp-cron всё равно отключил))

 

 

 

Сегодня опять сайт был недоступен. Провайдер сказал: "

Ошибка была вызвана тем, что обработчики веб-сервера Apache, запущенные для Вашего аккаунта, были заняты длительным выполнением скриптов (по Вашему текущему тарифу доступно использование 6 обработчиков). В результате этого новые обращения ожидали освобождения обработчика.

Мы завершили работу зависших обработчиков, на текущий момент работа сайта возобновлена. Проверьте, пожалуйста."

 

 

Посмотрю завтра что там в логах

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Сергей Ильин

Но читать эти результаты надо уметь, не говорю уже про исправление недостатков....

На перегрузку они мне отвечали "...Ошибка была вызвана тем, что обработчики веб-сервера Apache, запущенные для Вашего аккаунта, были заняты длительным выполнением скриптов (по Вашему текущему тарифу доступно использование 6 обработчиков) В результате этого новые обращения ожидали освобождения обработчика, и по истечению таймаута ожидания на странице отображалась ошибка 502. ...."

 

Предположу, что вас никто не DDoS'ит. Проблема в конфигурации веб-сервера. Какие-то скрипты написаны кривыми руками и при обращении к ним вешают сервер. У нас такая проблема была, например, при выполнении cron для обновления индекса поиска. Там огромная базу данные нужно было перелопатить скрипту и сервер подыхал. Пришлось внутренний поиск по сайту просто отключить.

 

Вам нужен грамотный веб-админ, хотя бы на время. Могу порекомендовать http://www.itsumma.ru/ 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Мутный

Могу порекомендовать http://www.itsumma.ru/

 

Глянул, я не профи, но мне кажется как-то недёшево там, работал с разными хостингами, также арендовал сервера, для разных целей, так-вот обычно почти у всех хостинг-компаний есть базовая поддержка, которая включена в тариф + в эту поддержку может входить и мониторинг серверов, либо доплата обычно 10-15 баксов, а-то и меньше...

 

Также обычно за 1000 рублей, есть так называемая расширенная поддержка, или разовые работы, которые как-раз и включают работы по оптимизации сервера, выявление проблем с нагрузкой и т.д.

 

Ну и хочется отметить две вещи:

 

1. Админ как-правило не будет править карявые скрипты, но может указать где проблема;

 

2. Админ не сможет помочь, если хостинг физически не справляется с нагрузкой, т.е. большая посещалка и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!

Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.

Войти

  • Сообщения

    • Moraband
      Да сейчас вот такие мошенники и взломщики очень продвинулись, с развитием технологий и различные мошеннические схемы развиваются. Обычные пользователи очень часто становятся жертвами взломов, обычно из-за того что слабо защищают аккаунт, думая, что их это никогда не коснется. Чтобы противостоять взлому необходимо знать определенные секреты защиты аккаунта, мне вот это пригодилось бы год назад, когда меня несколько раз взламывали и я не знал, что делать. Благо друг недавно скинул статью где детально расписано как обезопасить свой аккаунт  , только так смог уже поставить себе толковую защиту, теперь уже спокоен, что никто не взломает и не будет у моих друзей требовать деньги.
    • PR55.RP55
      Отслеживание активности любого расширения в браузере на примере хрома: Chrome https://xakep.ru/2014/06/16/62643/ Таким образом можно выявить левое расширение. т.е.  хорошо бы отслеживать активность расширений и прописывать данные в Инфо.
    • SemenovaI
      Отзывы читать надо путешественников и уже согласно их мнению ехать отдыхать. Мы так с мужем в Болгарию летом съездили, сначала я изучила впечатления туристов об отелях, кафе и уже тогда выбрала маршрут и забронировала гостиницу. На Букинг зайдите там много всего интересного почитать можно. Кстати, бронировала отель используя кэшбэк https://letyshops.com/shops/bookingcom мне понравилось. Недорого так заплатила за номер, который сняли на пару недель. 
    • Зотов Тимур
      Ой, понимаю, банька это сила. Тоже на даче хочу построить, а то так понравилось отдыхать с мужиками, с пивком и девочками http://prostitutkichelyabinskaxxx.com/ , после горячего отдыха еще и в бассейн прыгнуть... Красота.
    • demkd
      это просто id задачи в кэше он будет виден только в ссылках или не будет виден, я уже не помню, в любом случае оно не представляет интереса.
×