DDOS атака

Michael Corleone · March 19, 2017

Добрый день!

Сам я обычно не делаю сайты, не моя эта специальность, но пришлось взять у знакомых мелкий заказ. Был у них обычный старенький сайт на Joomla, хотели его заменить. Хостинг был у другого человека, он отдал мне фтп доступ, я создал простенький сайт на Wordpress. Вроде закончил работу, как вдруг в один день весь движок стал исковеркан логотипами какого то "кул хакера". Чтобы сделать бекап, я написал хозяину хостинга чтобы сделал откат, он написал что его сайты тоже поражены.

После бекапа я решил перенести все на независимый хостинг, все хорошо, взял пакет взлет от sweb.ru, первые два день хорошо, но потом начался концерт.

Хостинг провайдер начал слать эмейл что нагрузка на процессор колоссальная и пригрозили меня отключить. Естественно я подумал что дело в моих скриптах и где то день провозился с ним, но нагрузка выросла. Случайно просмотрев логи посещений я заметил что на сайт поступает огромное количество запросов из разных стран. Написал в поддержку, оказалась ддос атака. По совету, я подключил сервис cloudflare, благодаря его фильтрации нагрузка на процессор снизилась, но все равно выше нормы. Атака уже длится больше недели, поддержка хостинга рекомендует обратиться в специальные сервисы, но естественно я и мой знакомый не может платить 200 долларов в месяц, потому что сайт не основное его место заработка.

Буду очень признателен если кто то сможет мне помочь, потому все разводят руками

padonak2 · March 19, 2017

DVB-S2 · March 19, 2017

Если зарубежный трафик вас не интересует можете блокировать.

Michael Corleone · March 19, 2017

Только что, DVB-S2 сказал:

Если зарубежный трафик вас не интересует можете блокировать.

это турфирма, поэтому зарубежный трафик хоть и очень редко, но нужен к сожалению

SistemaInternet · March 19, 2017

Скачайте весь сайт себе на компьютер просканируйте на вредоносный код Касперским, удалите его. Закачайте обратно чистый сайт. Обновите wordpress до последней версии. Примените стандартные платины word press для защиты в этом вам уже google или яндекс помогут.

Michael Corleone · March 19, 2017

2 минуты назад, SistemaInternet сказал:

Скачайте весь сайт себе на компьютер просканируйте на вредоносный код Касперским, удалите его. Закачайте обратно чистый сайт. Обновите wordpress до последней версии. Примените стандартные платины word press для защиты в этом вам уже google или яндекс помогут.

Думаете сам сайт себя палит? Спасибо, попробую!

А насчет плагинов, много чего использовал, не помогает

SistemaInternet · March 19, 2017

8 минут назад, Michael Corleone сказал:

Думаете сам сайт себя палит? Спасибо, попробую!

А насчет плагинов, много чего использовал, не помогает

Сначала очистите сайт + поменяйте все пароли для MySQL базы и админ доступа.

Michael Corleone · March 19, 2017

1 час назад, SistemaInternet сказал:

Сначала очистите сайт + поменяйте все пароли для MySQL базы и админ доступа.

все сделал, каспер ничего не нашел, пароли сменены

Viktor Azev · March 19, 2017

1 час назад, Michael Corleone сказал:

все сделал, каспер ничего не нашел, пароли сменены

переходите на Azure, в цены их хостинга включена защита от ддос атак

Michael Corleone · March 19, 2017

Только что, Viktor Azev сказал:

переходите на Azure, в цены их хостинга включена защита от ддос атак

к сожалению хостинг оплачен, перейти не могу :(

FantasyMan · March 21, 2017

Доброй ночи, форумчане.

Нужна помощь знатоков по Word Press. Хостинг на блюхост-е.

Да бы не засорять форум, можно в ЛС.

SSSR · March 23, 2017

В 19.03.2017 в 13:27, Michael Corleone сказал:

Атака уже длится больше недели

Очень странно.

Тоже держу свои сайты на Sweb на разных серверах, уже много лет. Проблема возникает изредка на том или другом сайте, но атака длится меньше суток и всегда бывает с одного-двух IP, которые могут меняться. Тупо грузят сервер тоннами запросов.

Лечится блокировкой IP.

То что происходит у Вас странно, т.к. требует достаточно крупных вложений, что подразумевает серьезного и жирного конкурента. А у Вас, судя по заглавному посту, не монстр способный убить многотысячный алвер.

А если учесть, что подобное было и на другом хосте, причем не только на Вашем сайте. То здесь скорее всего идет речь о каком-то самозапускающемся скрипте, который не удалось зачистить с помощью бекапа.

Перейдя на другой хост Вы исправили существующую уязвимость предыдущего хостинга, но скрипт остался и теперь продолжает долбиться, пытаясь взломать новый сервер.

Michael Corleone · March 24, 2017

В 23.03.2017 в 06:00, SSSR сказал:

Очень странно.

Тоже держу свои сайты на Sweb на разных серверах, уже много лет. Проблема возникает изредка на том или другом сайте, но атака длится меньше суток и всегда бывает с одного-двух IP, которые могут меняться. Тупо грузят сервер тоннами запросов.

Лечится блокировкой IP.

То что происходит у Вас странно, т.к. требует достаточно крупных вложений, что подразумевает серьезного и жирного конкурента. А у Вас, судя по заглавному посту, не монстр способный убить многотысячный алвер.

А если учесть, что подобное было и на другом хосте, причем не только на Вашем сайте. То здесь скорее всего идет речь о каком-то самозапускающемся скрипте, который не удалось зачистить с помощью бекапа.

Перейдя на другой хост Вы исправили существующую уязвимость предыдущего хостинга, но скрипт остался и теперь продолжает долбиться, пытаясь взломать новый сервер.

да, вы правы, он именно долбится, даже использует ссылки старого сайта, который был до меня, получает 404.

Проблему мне удалось решить, написал в поддержку клаудафлейра, ответили через несколько недель, предложили заблокировать 10ок IP, сделать полное кеширование и на сайте и через них ,а также поставить режим андер атак именно через page rules а не через настройки. Я также поставил проверку браузера через каждые 5 минут. Странно, но помогло, нагрузка снизилась ниже нормы. Стоит отключить все, опять взлетает. Пока что выжидаю)

Greeceee · March 25, 2017

Обратитесь в лс. Как бы незаконна связь с ДДосом и для защиты от него нужны лицензии. В лс помогу :)

Michael Corleone · March 26, 2017

В 25.03.2017 в 07:08, Greeceee сказал:

Обратитесь в лс. Как бы незаконна связь с ДДосом и для защиты от него нужны лицензии. В лс помогу :)

написал)

Dmitrii Kanaev · March 27, 2017

Если история сайта не большая - думаю целесообразнее начать с самого начала и построить крепкий дом.

Michael Corleone · March 28, 2017

18 часов назад, Dmitrii Kanaev сказал:

Если история сайта не большая - думаю целесообразнее начать с самого начала и построить крепкий дом.

сайт собрать сначала? А долбить по новой не будут тот же адрес?

Жук Скарабей · March 28, 2017

В 3/19/2017 в 13:27, Michael Corleone сказал:

я создал простенький сайт на Wordpress. Вроде закончил работу, как вдруг в один день ....

Ех...Вы сделали колосальную ошибку, что начали создовать сайт на бесплатном СMS.

Я таких историй слушал сотни, если не тысячи.

Бесплатный сыр бывает в мышеловки.

Не делайте сайты на бесплатных СMS , контент которых вам дорог.

максимум, что можно позволить себе это сайт-визитка.

и то сразу принять как должное что вас могут взломать, поистязать атаками,а потом просто закрыть доступ в админку.

В задаетесь почему так происходит?

Потому что движок сырой.

Да, мои дорогие.

Это не только вордпрес касается, нои джумла и друпал...

самиим надо делать

желательно, на фреймворках

Edited March 28, 2017 by Жук Скарабей

Посредник · March 28, 2017

Может поможет (там ссылка в конце есть) - https://xakep.ru/2016/02/18/wordpress-layer7/

1 минуту назад, Жук Скарабей сказал:

Ех...Вы сделали колосальную ошибку, что начали создовать сайт на бесплатном СMS.

Я таких историй слушал сотни, если не тысячи.

Бесплатный сыр бывает в мышеловки.

Не делайте сайты на бесплатных СMS , контент которых вам дорог.

максимум, что можно позволить себе это сайт-визитка.

и то сразу принять как должное что вас могут взломать, поистязать атаками,а потом просто закрыть доступ в админку.

В задаетесь почему так происходит?

Потому что движок сырой.

Да, мои дорогие.

Если уделить должное внимание безопасности изначально - платная тема, платные плагины для защиты от атак и т.д. - то бесплатные движки в тысячу раз надежнее самописок от каких-то доморощенных компаний. Эти сайты на самописках просто никому на фиг не нужны. А если их кто-то захочет вскрыть, вскроет легко, как консервную банку.

Над крутыми опенсорс цмс вроде джумла, вордпресс, друпал и т.д. работают сотни первоклассных программеров, делаются сотни тысяч сайтов - а это значит что тестирование движка идет в глобальном масштабе. А эти паршивые цмски от карманных контор кто пишет, кто тестирует, кто делает защиту? Никто)

Жук Скарабей · March 28, 2017

Только что, Посредник сказал:

Если уделить должное внимание безопасности изначально - платная тема, платные плагины для защиты от атак и т.д. - то бесплатные движки в тысячу раз надежнее самописок от каких-то доморощенных компаний.

https://www.youtube.com/results?search_query=как+взломать+сайт+на+wordpress++

Не пугает, когда на движок столько иструкций по взлому?)

а раньше было больше.

Самописка, если написана руками, которые растут со спины- очень надежна только потому, что нафег никому не нужна, кроме хозяина сайта.

Элементраные рекомендации и соверменные тенденции - самописка просто сказка.

А бесплатные движки - их взлом это:

1. заработать себе имя

2. поднять свои навыки в программировании

С самопиской никто не будет связываться, потрогают доступы к файлам, к папкам,увидят структура нестандартная - да ну его...пойдут мучать доступную жертву типа вордпресс или джумла(друпал).

структура движка всем известна, почему бы не поиздеваться?

дос атака, например....

M.r.d · March 28, 2017

Проблема возможна в самом движке. Движок необходимо удалить. Скачать зануленный или купить. Если зануленный - проверить. Проверить сам шаблон. Установить. Защитить.

M.r.d · March 28, 2017

5 часов назад, Жук Скарабей сказал:

https://www.youtube.com/results?search_query=как+взломать+сайт+на+wordpress++

Не пугает, когда на движок столько иструкций по взлому?)

а раньше было больше.

Самописка, если написана руками, которые растут со спины- очень надежна только потому, что нафег никому не нужна, кроме хозяина сайта.

Элементраные рекомендации и соверменные тенденции - самописка просто сказка.

А бесплатные движки - их взлом это:

1. заработать себе имя

2. поднять свои навыки в программировании

С самопиской никто не будет связываться, потрогают доступы к файлам, к папкам,увидят структура нестандартная - да ну его...пойдут мучать доступную жертву типа вордпресс или джумла(друпал).

структура движка всем известна, почему бы не поиздеваться?

дос атака, например....

Эти видео с ютуба мало чему научат. Вообще , взлом сайта не говорит о благородстве.

2si · March 28, 2017

Меня терзают смутные сомнение...

Какой смысл его взломать ..

Может это вовсе не ддос атака, а что то с самим кодом ?

Тем более что вы раньше сайты не делали и не ваше это специальность?

Edited March 28, 2017 by 2si

Michael Corleone · March 29, 2017

11 час назад, 2si сказал:

Меня терзают смутные сомнение...

Какой смысл его взломать ..

Может это вовсе не ддос атака, а что то с самим кодом ?

Тем более что вы раньше сайты не делали и не ваше это специальность?

поэтому я сюда и написал спросить))

Но то что ддос есть подтвердили и в клаудфлейре и на самом свебе

Michael Corleone · March 29, 2017

12 часа назад, 2si сказал:

Меня терзают смутные сомнение...

Какой смысл его взломать ..

Может это вовсе не ддос атака, а что то с самим кодом ?

Тем более что вы раньше сайты не делали и не ваше это специальность?

и да, я пробовал ставить стандартный движок хостинга, дело не в моем коде, потому что нагрузка взлетает

Elpaso544 · April 4, 2017

В первую очередь поставьте плагин Wordfence, он про сканирует и удалит большую часть вредоносных скриптов, и активируйте в меню плагина Firewall, дальше скачайте свой сайт на комп и проверьте его сканером вредоносных скриптов aibolit-for-windows и после просмотра отчета сканирования в ручную удалите скрипты на которые он укажет