ol777

Поиск исполнителя (защита сайта)

В этой теме 14 сообщений

Здравствуйте,

 

Кто знает есть ли на этом форуме люди оказывающие услуги по аудиту и защите сайта от ddos атак?

На самом сайте anti-malware.ru  этой инфы не нашёл

Хотел обратится за советом к одному форумчанину. - но не могу в ЛС написать. (наверное потому что ещё мало сообщений на форуме)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

@ol777, один человек вам такие услуги не предоставит. Вам нужно купить подписку на соответствующие сервисы или же привлечь специализированную кантору.

 

Мы используем сервис Qualys для анализа уязвимостей. От DDoS защищает Лаборатория Касперского, Qrator, Ростелеком (если у вас их хостинг), западный Prolexic. Все это сервисы и вы просто перенаправляете к ним свой трафик. 

 

Из свежего есть еще сервис Incapsula https://www.incapsula.com/По сути это WAF + защита от DDoS.

 

Можно обратиться в эту компанию http://protosecurity.ru/Я думаю они сделают все, что нужно.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Все эти сервисы не дешёвые, если хотите получить качественную защиту, но не переплачивая рекомендую на выбор:CloudFlare, OVH, знаю пара серверов которые защищают от атак до 10 Гбит/с, переплата всего 5-10-ть баксов, защита на всех уровнях...

 

Отмечу, что OVH это аренда сервера во Франции и защита до 750 Гбит/с, минимальная стоймость 30 баксов, можно конечно и дешевле найти, через ресселера ! :)

 

А вообще какая сила атаки ? Может можно просто сервер настроить ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Guru, спасибо. Рассмотрю эти варианты если подтвердится что это именно ddos атаки были.  Пока проверил в Qualys. 

вот результаты: JCF88Ka.png

Но читать эти результаты надо уметь, не говорю уже про исправление недостатков....

 

Просто у меня последнее время были перегрузки на CPU (хостинг Timeweb) они даже сайт отключали потом стали часто возникать error 502

На перегрузку они мне отвечали "...Ошибка была вызвана тем, что обработчики веб-сервера Apache, запущенные для Вашего аккаунта, были заняты длительным выполнением скриптов (по Вашему текущему тарифу доступно использование 6 обработчиков) В результате этого новые обращения ожидали освобождения обработчика, и по истечению таймаута ожидания на странице отображалась ошибка 502. ...."

 

Один человек сказал что возможно это DDoS атаки. Так я даже не знаю точной причины. Или это атаки или проблемы с wordpress сайтом .....

 

Мутный, я в первом посте про вас и говорил ))  к вам и хотел обратится

Отредактировал ol777

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Посмотрите логи апача, что там такое ?

 

Обычно такое возникает, из-за большого количества обращения к сайту, также это может-быть из-за карявого плагина/скрипта сайта... :)

 

Нефакт что ддос, это может-быть "нашествие" поисковых ботов (Типо яндекс, гугл), это может-быть brute force атака и ещё много-чего...

 

Что-бы точно дать ответ, нужны логи апача...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

мне сказали - "...Вы можете включить лог ошибок error_log в меню "Логи", в данный лог попадают ошибки обработанные apache.....лог же доступа apache может быть предоставлен Вам по запросу.....,"

 

на всеобщее обозрение выкладывать логи наверное небезопасно. Пожалуйста напишите мне в ЛС, я вам с удловольствием покажу error логи ))

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Пожалуйста напишите мне в ЛС, я вам с удловольствием покажу error логи ))

 

Немогу:

 

 

Обнаружены следующие ошибки:

Пользователь ol777 не может использовать личные сообщения

Личное сообщение не отправлено.

 

Для анализа нужно два типа логов, у апача два типа лог-файлов, распалагаются кстати они обычно в корневой директории пользователя в папке logs, итак:

 

1-ый тип логов это error_log - В этом логе апач пишет ошибки, например ошибки php-скриптов, если где-то доступ запрещён, всё туда пишется, так-же в этих логах можно узнать причину той-же ошибки 502 например...

 

2-й тип логов это access_log - В этом логе пишутся все обращения к серверу, т.е. Get/Post запросы, этот лог позволяет определить сколько было обращений и куда, с каких IP-адресов и т.д.

 

Для анализа как-раз нужен больше access_log лог... :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

error_log исписан строками типа:

 

[sat Sep 05 13:25:38 2015] [error] [client 64.39.103.191] PHP Warning:  session_start() [<a href='function.session-start'>function.session-start</a>]: The session id is too long or contains illegal characters, valid characters are a-z, A-Z, 0-9 and '-,' in /home/o/olegdv2/public_html/wp/wp-content/plugins/iphorm-form-builder/includes/common.php on line 64, referer: http://site.com/

 

Более 100 страниц log файла за один час с IP адреса 64.39.103.191

 

 

 

access_log с этого же IP большое колличество заходов на разные страницы. (например 8заходов  на одну страницу за секунду)

site.com.com 64.39.103.191 - - [05/Sep/2015:13:25:38 +0300] "GET /free-ea/ HTTP/1.0" 200 46085 "http://site.com.com/" "Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10_6_8; en-us) 

 

 

 

есть ещё странные как мне кажется :))) записи типа:

 

site.com 64.39.103.191 - - [05/Sep/2015:14:20:31 +0300] "GET / 
HTTP/1.0" 200 47570 "http://site.com/""()  { test;}; echo; QSS_1=A5B2C3 QSS_2=c3h7l9 QSS_3=P8C6h4 QSS_4=$QSS_3:QQ:$QSS_1:qq:$QSS_2 && echo $QSS_4"
site.com 2a03:6f00:1::5c35:724c - - [05/Sep/2015:14:20:28 +0300] "POST /wp/wp-cron.php?doing_wp_cron=1441452028.4708240032196044921875 HTTP/1.0" 200 - "-" "WordPress/4.3; http://site.com"
 
-------------------
 
Что скажите? можно предварительно сказать проблема в сайте(скрипты, плагины) или идёт атака на сайт))
Отредактировал ol777

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Данный айпишник, принадлежит сканеру на уязвимости:https://www.qualys.com/

 


есть ещё странные как мне кажется :))) записи типа:

А тут вообще похоже как-будто проэксплуатировать какую-то уязвимость хотят ! :huh:

 

Вообще wp-cron.php - Это крон вордпресса, попробуйте его отключить, если он не нужен, может он как-раз и грузит сервер ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Данный айпишник, принадлежит сканеру на уязвимости:https://www.qualys.com/

а, значит тут нормально)

А тут вообще похоже как-будто проэксплуатировать какую-то уязвимость хотят ! Вообще wp-cron.php - Это крон вордпресса, попробуйте его отключить, если он не нужен, может он как-раз и грузит сервер ?

 

так там с этого же IP  64.39.103.191 (qualys.com/) но wp-cron всё равно отключил))

 

 

 

Сегодня опять сайт был недоступен. Провайдер сказал: "

Ошибка была вызвана тем, что обработчики веб-сервера Apache, запущенные для Вашего аккаунта, были заняты длительным выполнением скриптов (по Вашему текущему тарифу доступно использование 6 обработчиков). В результате этого новые обращения ожидали освобождения обработчика.

Мы завершили работу зависших обработчиков, на текущий момент работа сайта возобновлена. Проверьте, пожалуйста."

 

 

Посмотрю завтра что там в логах

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Но читать эти результаты надо уметь, не говорю уже про исправление недостатков....

На перегрузку они мне отвечали "...Ошибка была вызвана тем, что обработчики веб-сервера Apache, запущенные для Вашего аккаунта, были заняты длительным выполнением скриптов (по Вашему текущему тарифу доступно использование 6 обработчиков) В результате этого новые обращения ожидали освобождения обработчика, и по истечению таймаута ожидания на странице отображалась ошибка 502. ...."

 

Предположу, что вас никто не DDoS'ит. Проблема в конфигурации веб-сервера. Какие-то скрипты написаны кривыми руками и при обращении к ним вешают сервер. У нас такая проблема была, например, при выполнении cron для обновления индекса поиска. Там огромная базу данные нужно было перелопатить скрипту и сервер подыхал. Пришлось внутренний поиск по сайту просто отключить.

 

Вам нужен грамотный веб-админ, хотя бы на время. Могу порекомендовать http://www.itsumma.ru/ 

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Могу порекомендовать http://www.itsumma.ru/

 

Глянул, я не профи, но мне кажется как-то недёшево там, работал с разными хостингами, также арендовал сервера, для разных целей, так-вот обычно почти у всех хостинг-компаний есть базовая поддержка, которая включена в тариф + в эту поддержку может входить и мониторинг серверов, либо доплата обычно 10-15 баксов, а-то и меньше...

 

Также обычно за 1000 рублей, есть так называемая расширенная поддержка, или разовые работы, которые как-раз и включают работы по оптимизации сервера, выявление проблем с нагрузкой и т.д.

 

Ну и хочется отметить две вещи:

 

1. Админ как-правило не будет править карявые скрипты, но может указать где проблема;

 

2. Админ не сможет помочь, если хостинг физически не справляется с нагрузкой, т.е. большая посещалка и т.д.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • DinaMItVV
      Не удивительно, мы информатику изучали в старших классах и ВУЗах, а дети наши с первого класса.  Кибернетическое поколение растет.  Да и требования в школах по многим предметам сейчас связаны с компьютером напрямую.  А по вопросу созлания сайта наверное лучше обратиться на тематические форумы, там больше  знающих ІТ-технологии людей общается, могут и чайникам помочь.
    • 7006605
      22 мая в Творческой мастерской им. А. Н. Сокурова Кабардино-Балкарского государственного университета им. Х. М. Бербекова прошла Всероссийская акция «СТОП ВИЧ/СПИД», приуроченная к Международному дню памяти жертв СПИДа. Акция проводилась медицинским факультетом университета для старшеклассников города Нальчика.  Как отметила доцент кафедры факультетской терапии МФ КБГУ, доктор медицинских наук Зарета Камбачокова, главная задача акции – привлечь внимание к проблеме ВИЧ-инфекции и СПИДа, донести до каждого правильную и полную информацию об этой болезни и, главное, помочь защитить себя и своих близких.  Программа встречи предусматривала интерактивную лекцию, фильм по профилактике ВИЧ-инфекции, также ведущие зачитали письмо женщины, которая рассказывала о своей жизни после того, как узнала о своем диагнозе. Со статистической информацией выступила врач-терапевт центра СПИД КБР Марина Хакунова. У всех участников акции была возможность задать специалистам интересующие их вопросы и получить исчерпывающие ответы.
    • Dion
      Полностью с вами согласен, что заморачиваться в крайней степени незачем, в наше время всё поставлено на поток и  максимально автоматизировано. У меня ещё не было такого, чтобы посылка не пришла всё вопрос времени, когда быстрее посылка придёт когда медленнее но всегда приходила!
    • rustlakov
      Умные люди всегда найдут на чём заработать и как. Тем более что возможностей заработать деньги в наше время очень и очень большое количество. Только слепой не увидит их. А что уж там говорить про интернет. Он сейчас настолько развит что в нём даже можно уже деньги зарабатывать. Лет десять назад про это ещё никто не знал. Сейчас же ситуация очень изменилась.
    • Pechalka
      Вообще не замарачиваюсь по этому поводу. Где там моя посылка... Заказываю всегда всё заранее и сижу не дергаюсь, на любом сайте указаны сроки доставки, раньше указанного срока даже и не переживаю о посылке и вот до сих пор всё всегда приходило, что-то быстро, что-то не очень. Но в целом меня всё устраивает.