ol777

Поиск исполнителя (защита сайта)

В этой теме 14 сообщений

Здравствуйте,

 

Кто знает есть ли на этом форуме люди оказывающие услуги по аудиту и защите сайта от ddos атак?

На самом сайте anti-malware.ru  этой инфы не нашёл

Хотел обратится за советом к одному форумчанину. - но не могу в ЛС написать. (наверное потому что ещё мало сообщений на форуме)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@ol777, один человек вам такие услуги не предоставит. Вам нужно купить подписку на соответствующие сервисы или же привлечь специализированную кантору.

 

Мы используем сервис Qualys для анализа уязвимостей. От DDoS защищает Лаборатория Касперского, Qrator, Ростелеком (если у вас их хостинг), западный Prolexic. Все это сервисы и вы просто перенаправляете к ним свой трафик. 

 

Из свежего есть еще сервис Incapsula https://www.incapsula.com/По сути это WAF + защита от DDoS.

 

Можно обратиться в эту компанию http://protosecurity.ru/Я думаю они сделают все, что нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все эти сервисы не дешёвые, если хотите получить качественную защиту, но не переплачивая рекомендую на выбор:CloudFlare, OVH, знаю пара серверов которые защищают от атак до 10 Гбит/с, переплата всего 5-10-ть баксов, защита на всех уровнях...

 

Отмечу, что OVH это аренда сервера во Франции и защита до 750 Гбит/с, минимальная стоймость 30 баксов, можно конечно и дешевле найти, через ресселера ! :)

 

А вообще какая сила атаки ? Может можно просто сервер настроить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Guru, спасибо. Рассмотрю эти варианты если подтвердится что это именно ddos атаки были.  Пока проверил в Qualys. 

вот результаты: JCF88Ka.png

Но читать эти результаты надо уметь, не говорю уже про исправление недостатков....

 

Просто у меня последнее время были перегрузки на CPU (хостинг Timeweb) они даже сайт отключали потом стали часто возникать error 502

На перегрузку они мне отвечали "...Ошибка была вызвана тем, что обработчики веб-сервера Apache, запущенные для Вашего аккаунта, были заняты длительным выполнением скриптов (по Вашему текущему тарифу доступно использование 6 обработчиков) В результате этого новые обращения ожидали освобождения обработчика, и по истечению таймаута ожидания на странице отображалась ошибка 502. ...."

 

Один человек сказал что возможно это DDoS атаки. Так я даже не знаю точной причины. Или это атаки или проблемы с wordpress сайтом .....

 

Мутный, я в первом посте про вас и говорил ))  к вам и хотел обратится

Отредактировал ol777

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Посмотрите логи апача, что там такое ?

 

Обычно такое возникает, из-за большого количества обращения к сайту, также это может-быть из-за карявого плагина/скрипта сайта... :)

 

Нефакт что ддос, это может-быть "нашествие" поисковых ботов (Типо яндекс, гугл), это может-быть brute force атака и ещё много-чего...

 

Что-бы точно дать ответ, нужны логи апача...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

мне сказали - "...Вы можете включить лог ошибок error_log в меню "Логи", в данный лог попадают ошибки обработанные apache.....лог же доступа apache может быть предоставлен Вам по запросу.....,"

 

на всеобщее обозрение выкладывать логи наверное небезопасно. Пожалуйста напишите мне в ЛС, я вам с удловольствием покажу error логи ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста напишите мне в ЛС, я вам с удловольствием покажу error логи ))

 

Немогу:

 

 

Обнаружены следующие ошибки:

Пользователь ol777 не может использовать личные сообщения

Личное сообщение не отправлено.

 

Для анализа нужно два типа логов, у апача два типа лог-файлов, распалагаются кстати они обычно в корневой директории пользователя в папке logs, итак:

 

1-ый тип логов это error_log - В этом логе апач пишет ошибки, например ошибки php-скриптов, если где-то доступ запрещён, всё туда пишется, так-же в этих логах можно узнать причину той-же ошибки 502 например...

 

2-й тип логов это access_log - В этом логе пишутся все обращения к серверу, т.е. Get/Post запросы, этот лог позволяет определить сколько было обращений и куда, с каких IP-адресов и т.д.

 

Для анализа как-раз нужен больше access_log лог... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

error_log исписан строками типа:

 

[sat Sep 05 13:25:38 2015] [error] [client 64.39.103.191] PHP Warning:  session_start() [<a href='function.session-start'>function.session-start</a>]: The session id is too long or contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /home/o/olegdv2/public_html/wp/wp-content/plugins/iphorm-form-builder/includes/common.php on line 64, referer: http://site.com/

 

Более 100 страниц log файла за один час с IP адреса 64.39.103.191

 

 

 

access_log с этого же IP большое колличество заходов на разные страницы. (например 8заходов  на одну страницу за секунду)

site.com.com 64.39.103.191 - - [05/Sep/2015:13:25:38 +0300] "GET /free-ea/ HTTP/1.0" 200 46085 "http://site.com.com/" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) 

 

 

 

есть ещё странные как мне кажется :))) записи типа:

 

site.com 64.39.103.191 - - [05/Sep/2015:14:20:31 +0300] "GET / 
HTTP/1.0" 200 47570 "http://site.com/""()  { test;}; echo; QSS_1=A5B2C3 QSS_2=c3h7l9 QSS_3=P8C6h4 QSS_4=$QSS_3:QQ:$QSS_1:qq:$QSS_2 && echo $QSS_4"
site.com 2a03:6f00:1::5c35:724c - - [05/Sep/2015:14:20:28 +0300] "POST /wp/wp-cron.php?doing_wp_cron=1441452028.4708240032196044921875 HTTP/1.0" 200 - "-" "WordPress/4.3; http://site.com"
 
-------------------
 
Что скажите? можно предварительно сказать проблема в сайте(скрипты, плагины) или идёт атака на сайт))
Отредактировал ol777

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Данный айпишник, принадлежит сканеру на уязвимости:https://www.qualys.com/

 


есть ещё странные как мне кажется :))) записи типа:

А тут вообще похоже как-будто проэксплуатировать какую-то уязвимость хотят ! :huh:

 

Вообще wp-cron.php - Это крон вордпресса, попробуйте его отключить, если он не нужен, может он как-раз и грузит сервер ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Данный айпишник, принадлежит сканеру на уязвимости:https://www.qualys.com/

а, значит тут нормально)

А тут вообще похоже как-будто проэксплуатировать какую-то уязвимость хотят ! Вообще wp-cron.php - Это крон вордпресса, попробуйте его отключить, если он не нужен, может он как-раз и грузит сервер ?

 

так там с этого же IP  64.39.103.191 (qualys.com/) но wp-cron всё равно отключил))

 

 

 

Сегодня опять сайт был недоступен. Провайдер сказал: "

Ошибка была вызвана тем, что обработчики веб-сервера Apache, запущенные для Вашего аккаунта, были заняты длительным выполнением скриптов (по Вашему текущему тарифу доступно использование 6 обработчиков). В результате этого новые обращения ожидали освобождения обработчика.

Мы завершили работу зависших обработчиков, на текущий момент работа сайта возобновлена. Проверьте, пожалуйста."

 

 

Посмотрю завтра что там в логах

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Но читать эти результаты надо уметь, не говорю уже про исправление недостатков....

На перегрузку они мне отвечали "...Ошибка была вызвана тем, что обработчики веб-сервера Apache, запущенные для Вашего аккаунта, были заняты длительным выполнением скриптов (по Вашему текущему тарифу доступно использование 6 обработчиков) В результате этого новые обращения ожидали освобождения обработчика, и по истечению таймаута ожидания на странице отображалась ошибка 502. ...."

 

Предположу, что вас никто не DDoS'ит. Проблема в конфигурации веб-сервера. Какие-то скрипты написаны кривыми руками и при обращении к ним вешают сервер. У нас такая проблема была, например, при выполнении cron для обновления индекса поиска. Там огромная базу данные нужно было перелопатить скрипту и сервер подыхал. Пришлось внутренний поиск по сайту просто отключить.

 

Вам нужен грамотный веб-админ, хотя бы на время. Могу порекомендовать http://www.itsumma.ru/ 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Могу порекомендовать http://www.itsumma.ru/

 

Глянул, я не профи, но мне кажется как-то недёшево там, работал с разными хостингами, также арендовал сервера, для разных целей, так-вот обычно почти у всех хостинг-компаний есть базовая поддержка, которая включена в тариф + в эту поддержку может входить и мониторинг серверов, либо доплата обычно 10-15 баксов, а-то и меньше...

 

Также обычно за 1000 рублей, есть так называемая расширенная поддержка, или разовые работы, которые как-раз и включают работы по оптимизации сервера, выявление проблем с нагрузкой и т.д.

 

Ну и хочется отметить две вещи:

 

1. Админ как-правило не будет править карявые скрипты, но может указать где проблема;

 

2. Админ не сможет помочь, если хостинг физически не справляется с нагрузкой, т.е. большая посещалка и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • МашаМашенька
      Смотря для чего вы его хотите купить! Если для работы, то конечно с ноутбуком удобней! Если для игр, просмотра фильмов и так далее, то лучше компьютер, там мощности больше и экран можно большой взять
    • МашаМашенька
      А мы также планируем в Буковель поехать с супругом. В моих планах забеременеть, может хоть свежий воздух и другая атмосфера этому поспособствует. Нашла статью https://jdembaby.com/planning/zachatie/luchshie-pozy-dlya-zachatiya-rebenka.html , хочу применить в процессе, как раз проверим правду пишут или нет.
    • sharyga777
    • РПС-Калуга
      Компания "РусПромСварка" занимается проектированием, изготовлением и монтажом металлоконструкций в Калуге и Калужской области.  Опыт и наличие профессионального оборудования позволяют изготавливать качественные конструкции из металла по оптимальным ценам по чертежам и эскизам заказчика: металлические лестницы, переходы и площадки заборы из профнастила и металлопрофиля беседки из поликарбоната с металлическим каркасом строительные металлоконструкции (фермы, колонны, балки) Производим монтаж металлоконструкций. Сварочные работы  производятся аттестованными сварщиками на новейшем профессиональном оборудовании Lincoln Electric c использованием высококачественных сварочных материалов.  
    • PR55.RP55
      + MapsFrontier
      Global Security Center OOO
      Total PC
      Blue Century Software co.
      Elex do Brasil Participacoes Ltda.