Найти на сайте
  2. Форумы
  3. РАЗНОЕ
  4. Флейм / Флуд / Оффтопик
  5. Помогите разобрать странные запросы в логах

Помогите разобрать странные запросы в логах

#1 28 марта 2015 в 18:27
Буду рад любым размышлениям по вопросам...

Вопрос 1

в access_log вижу кучу запросов такого вида (аж по 70 в секунду)

  1. www.адрес сайта.ru 185.91.175.12 - - [28/Mar/2015:15:39:46 +0300] "GET /?True HTTP/1.0" 200 74125 "-" "Mozilla/5.0 (X11; U; Linux 2.4.2-2 i586; en-US; m18) Gecko/20010131 Netscape6/6.01"
  2. www.адрес сайта.ru 185.91.175.12 - - [28/Mar/2015:15:39:46 +0300] "GET /?True HTTP/1.0" 200 74113 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; iRider 2.21.1108; FDM"
  3. www.адрес сайта.ru 185.91.175.12 - - [28/Mar/2015:15:39:46 +0300] "GET /?True HTTP/1.0" 200 74181 "-" "Mozilla/5.0 (Windows; U; Win98; en-US; rv:0.9.2) Gecko/20010726 Netscape6/6.1"
  4. www.адрес сайта.ru 185.91.175.12 - - [28/Mar/2015:15:39:46 +0300] "GET /?True HTTP/1.0" 200 74125 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.452) Gecko/20041027 Mnenhy/0.6.0.104"
  5. www.адрес сайта.ru 185.91.175.12 - - [28/Mar/2015:15:39:46 +0300] "GET /?True HTTP/1.0" 200 74181 "-" "Mozilla/5.0 (X11; U; Linux i686; en-GB; rv:1.7.6) Gecko/20050405 Epiphany/1.6.1 (Ubuntu) (Ubuntu package 1.0.2)"
  6. www.адрес сайта.ru 185.91.175.12 - - [28/Mar/2015:15:39:47 +0300] "GET /?True HTTP/1.0" 200 74113 "-" "Mozilla/5.0 (X11; U; Linux i686; en-US; rv:0.9.3) Gecko/20010801"
  7. www.адрес сайта.ru 185.91.175.12 - - [28/Mar/2015:15:39:47 +0300] "GET /?True HTTP/1.0" 200 74118 "-" "Mozilla/5.0 (X11; U; Linux i686; en-GB; rv:1.7.6) Gecko/20050405 Epiphany/1.6.1 (Ubuntu) (Ubuntu package 1.0.2)"
  8. www.адрес сайта.ru 185.91.175.12 - - [28/Mar/2015:15:39:47 +0300] "GET /?True HTTP/1.0" 200 74118 "-" "Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.452) Gecko/20041027 Mnenhy/0.6.0.104"
ddos?

Вопрос 2

в error_log вижу такое

  1. [Sat Mar 28 16:26:23 2015] [error] [client 85.25.151.224] PHP Fatal error:  Allowed memory size of 524288000 bytes exhausted (tried to allocate 256 bytes) in /home/*/*********/public_html/core/classes/db.class.php on line 212, referer: http://www.адрес сайта.ru//redirect?url=http://teron.ru/index.php?showtopic=2224287&st=2980
Как может получится такой запрос? Редирект же работает через одну косую перед go, т.е. должно быть

  1. referer: http://www.адрес сайта.ru/redirect?url=http://teron.ru/index.php?showtopic=2224287&st=2980
Разработка виджетов, полей и компонентов, сайты под ключ. site: www.zau4man.ru telegram: @zau4man консультации: 300р./час
0
#2 29 марта 2015 в 11:31

Вопрос 1

Zau4man
Заблокируйте через iptables ip и все.

Вопрос 2

Zau4man
Есть проблема с двойным слешем, решение есть в траке, /core/cms.php. Что именно, навскидку не помню, но попробуйте заменить метод detectURI свой на тот, что в траке.
🛠 docs.instantcms.ru
0
#3 29 марта 2015 в 17:09

Заблокируйте через iptables ip и все.

Fuze
спасибо. так и сделал. Нагуглил тему на серче, это простой http-флуд, кто-то обиделся.

Что именно, навскидку не помню, но попробуйте заменить метод detectURI свой на тот, что в траке.

Fuze
Спасибо, так и сделаю. И погляжу, что будет в логах.
Разработка виджетов, полей и компонентов, сайты под ключ. site: www.zau4man.ru telegram: @zau4man консультации: 300р./час
0
#4 10 апреля 2015 в 19:57
Появился новый вопрос.
Сайт на sharede. Реально в хтаксесс прописать блок для всего китая? Ребятки давят уже с 500+ айпишников…
Разработка виджетов, полей и компонентов, сайты под ключ. site: www.zau4man.ru telegram: @zau4man консультации: 300р./час
0
#5 10 апреля 2015 в 20:16
Zau4man, насколько я знаю в .htaccess можно заблокировать подсеть, например как то так:

order allow,deny
allow from all
deny from 1.80.0.0/13 1.92.0.0/14

китайские сети гуглите или те ip, кто к вам стучатся объединяйте по окетам и блокируйте подсетями, маску сети вы врятли узнаете, поэтому указывайте примерно.
ip калькулятор
🛠 docs.instantcms.ru
0
#6 10 апреля 2015 в 22:42
Fuze, спасибо за совет.
Накидал скриптик, который парсит лог файл и собирает ip досеров, потом удаляет повторы и объединяет в подсети.
Затем список вношу в .htaccess
Посмотрим, что придумают китайцы дальше…
Разработка виджетов, полей и компонентов, сайты под ключ. site: www.zau4man.ru telegram: @zau4man консультации: 300р./час
0
#7 11 апреля 2015 в 20:31
Нашел интересный сайтик с ипами поднебесной www.ipdeny.com/ipblocks/data/countries/cn.zone
Может кому пригодится.

Китайцы больше не палились в логах добавками типа 
  1. /?True
, а тупо открывали главную страницу.
Сегодняшний ддос отстояли, правда иногда 500я ошибка выпадала.
Разработка виджетов, полей и компонентов, сайты под ключ. site: www.zau4man.ru telegram: @zau4man консультации: 300р./час
0
#8 11 апреля 2015 в 22:10

Китайцы больше не палились в логах добавками типа

Zau4man
Евгений поделитесь тем что ВЫ увели у Китайцев?
0
#9 11 апреля 2015 в 22:28
Zau4man, при таком количестве подсетей у китайцев проще тогда наши подсети разрешить а остальное заблокировать. smile
А вообще проще через связку iptables и geoip разрешить для стран доступ к сайту а остальное забанить/
К тому же не только китайцы но и бразильцы, испанцы… этим грешат
Я обычно смотрю маски на nic.ru через whois
Раньше РАЙ был везде - РАЙсовет, РАЙком, РАЙсобес...., а сейчас везде АДминистрации! Не надо давать людям советы. Каждый должен лохануться самостоятельно! Любишь в продакшн, люби и баги починить!
0
#10 11 апреля 2015 в 22:34
Геннадий Иванович, у китайцев вряд ли. У кого-то из местных видимо. Все началось с запросов (http флуда) с одного ипа типа


  1. [Thu Apr 09 19:09:19 2015] [error] [client 185.91.175.12] client denied by server configuration: /home/*/***********/public_html/, referer: http:// адрес сайта.ru/script.php?id=idinahuycyka&rotebalnahuy)))))
ИП был забанен. Дальше — больше. Был уже ддос главной с добавкой 
  1. /?True
Накатал скриптик, собрал ипы (около 150), забанил.

Кто-то не унимается и заказывает ддос у китайцев побольше, примерно на 500 ипов. Тут я уже баню подсетями. Примерно 200 подсетей получилось.

Посмотрим, что будет дальше😊Хостер не выгоняет, дает советы. Уже присмотрел впс, нагуглил настройки файервола в isp manager. Интересно, только хлопотно. И спать хочется.
Разработка виджетов, полей и компонентов, сайты под ключ. site: www.zau4man.ru telegram: @zau4man консультации: 300р./час
0
#11 11 апреля 2015 в 22:36
eoleg, так и сделаю, если совсем достанут. А пока у меня шаред хостинг (хоть и дорогой тариф) и только возможность редактировать .htaccess
Разработка виджетов, полей и компонентов, сайты под ключ. site: www.zau4man.ru telegram: @zau4man консультации: 300р./час
0
Мои ЯД на Ваши wmr
Тестовая база mysql
Вы не можете отвечать в этой теме.
Войдите или зарегистрируйтесь, чтобы писать на форуме.

Похожие темы

[ЕСТЬ РЕШЕНИЕ] Странные логи на сервере. Помогите пожалуйста разобраться!

Дизайн / Графика / Искусство Создана 4 года назад 9 сообщений

Помогите разобраться с размером изображения в списке

Типы контента / статьи / страницы Создана 4 года назад 5 сообщений

api помогите разобраться

HTML / CSS / PHP / JS / RegExp Создана 4 года назад 6 сообщений

Помогите разобраться))

Вопросы безопасности Создана 4 года назад 27 сообщений

Помогите разобраться с заголовком, SEO, тегами, тайтлом.

Флейм / Флуд / Оффтопик Создана 4 года назад 37 сообщений

[ЕСТЬ РЕШЕНИЕ] Редактирование прав группы - group_perms, 404 ошибка

Дизайн / Графика / Искусство Создана 4 года назад 2 сообщения

InstantCMS Team

Связь с нами
Email dev@instantcms.ru

Делаем полезные Интернет проекты с 2008 года 💫

О проекте

Поддержка

Дополнения

Используя этот сайт, вы соглашаетесь с тем, что мы используем файлы cookie.