Объявление: Сайт находится под DDoS-атакой

Проекту исполнилось 15 лет! Поддержать проект материально, проспонсировать проекты Автора или сделать ему подарок можно на этой странице: "Донаты и Спонсорство, Список Желаний".

Число просмотров: 6 234 

Внимание! На данный момент на сайт какими-то зловредами проводится DDoS-атака. Это значит, что на сайт каждый раз с разных IP-адресов валится куча левых запросов, которые он неспособен переварить и из-за этого отключается. Выследить эти адреса тяжело, потому что они постоянно меняются. Кому интересно, про DDoS-атаки можно почитать в Wikipedia. У моего хостера стоит защита, которая просит нажать кнопку, чтобы для лично вас сайт был доступен. Вот её скриншот:

Скриншот защиты хостера от DDoS-атак

Скриншот защиты хостера от DDoS-атак

Не пугайтесь — мой блог в порядке, я готовлю дальше всякие новые посты! Атака идёт уже месяц, я набираю статистику и жду, чего дальше будет. Блог пытаются конкретно сломать, брутфорся пароли и прочие уязвимости в WordPress-овском движке. Так как DDoS-атаки платные (в инете ищется куча сайтов), то вопросы, которые я себе задаю, это: зачем это кому-то надо (конкуренты, обиженные или завистники?), кому может быть надо увалить мой блог (конкретные люди) и что получат эти кто-то, если блог не будет работать. В результате этого у меня складываются несколько версий, которые я не буду здесь описывать из тех соображений, чтобы враги проявили себя сами.

UPDATE 03.09.2016. На данный момент народ продолжает вовсю пытаться ломать мой движок и подбирать пароли к моим аккаунтам. Сайт потихоньку возвращается в поисковики и работает штатно. Если что-то с ним случится и хостер снова поставит заглушку — то я снова прилеплю этот пост, чтобы народ не пугался.

В общем, всё ОК. Баннера от хостера не пугайтесь, он хороший! Жжом дальше!

Проекту исполнилось 15 лет! Поддержать проект материально, проспонсировать проекты Автора или сделать ему подарок можно на этой странице: "Донаты и Спонсорство, Список Желаний".

30 Отзывов на “Объявление: Сайт находится под DDoS-атакой”


  • 1 Wan-Derer  [Москва]

    Вот правда непонятно нахрена так делать.
    При том что сайт-то живёт нормально. По крайней мере я, с хилым деревенским/телефонным интернетом не чувствую никаких тормозов и прочих последствий атаки.
    Но ты на всяк случ бэкапы делай :)

  • 2 CS  [Москва]

    Вот и мне непонятно, кто и зачем. Но пока понятно что это живые люди, а не ботнет. Потому что:
    а) Кто-то подбирал пасс к хостингу и к FTP
    б) Кто-то брутфорсит пасс к WordPress через xml-фичу, которую используют как дырку.
    Вот если бы эти вещи были бы отдельно и разнесены по времени — то можно было бы списать на случайность. А обе вместе они говорят о том, что блог кем-то недоволен.

    Я часть фич движка, через которые его брутфорили поотключал и позакрыл. Посмотрим, что дальше будет.

  • 3 CS  [Москва]

    О! Надыбал конкретную фигню в логах!
    46.161.9.35 - - [20/Aug/2016:06:39:38 +0300] "GET /wp-admin/admin-ajax.php?action=getfile&/../../wp-config.php HTTP/1.1" 200 443 "-" "Mozilla/5.0 (Windows NT 6.1; rv:34.0) Gecko/20100101 Firefox/34.0" 46.161.9.35 - - [20/Aug/2016:06:40:04 +0300] "GET /wp-content/force-download.php?file=../wp-config.php HTTP/1.1" 404 34231 "-" "Mozilla/5.0 (Windows NT 6.1; rv:34.0) Gecko/20100101 Firefox/34.0"
    Какие-то боты ещё и пытаются конфиг WP скачать, чтобы пароли от базы данных стырить. Только теперь нет такого файла ;) я кое-чего придумал.

  • 4 Caesarion  [Новосибирск]

    Прекратилось наконец-то! По крайней мере, хостер больше не просит нажать кнопку. Из-за этого 3 недели RSS-агрегатор не работал. Более-менее выручала старая Опера, но у неё нет синхронизации между разными компьютерами.

  • 5 CS  [Москва]

    Зато как кайфово! Блог ВОВСЮ ЛОМАЮТ нахрен по полной! И пароли к admin подбирают, и прочее. Так что я блог бэкаплю на случай если его ломанут нахрен.

  • Некий минус от такой «защиты» всё-таки есть: в Google/Яндекс на cs-cs.net уже ничего не найти.

    Например так ничего толкового не находится: промежуточные реле site:cs-cs.net
    ( https://www.google.ru/search?q=промежуточные+реле+site%3Acs-cs.net )

  • 7 CS  [Москва]

    Вот-вот! Заглушку убрали, так что должно переиндексироваться.

  • 8 CS  [Москва]

    Такс, продолжаем! Таперича вовсю подбирают пароли разными скриптами. У меня стоит плагин, который блочит логины по IP, не давая подбирать пароли часто. Поэтому веселимся и наблюдаем.

    И всё-таки, кому ж такое надо?

    CS-PassLogins

  • 9 AndreyKo  [Санкт-Петербург]

    Чей пароль подбирают? Твой или пользователей?

  • 10 CS  [Москва]

    А вон на скриншоте логины даны. SMITT есть зареганный такой, вроде живой чел, даже комментил тут чего-то. А Admin и CS — понятно что ищут.
    Думаю, что работает ботнет, но направляют его таки живые люди.

  • 11 rhymond

    да, сейчас уже по поиску «Убийцы панелек» на сайт не выводит сразу, как раньше

  • 12 CS  [Москва]

    Должно подняться. А мы будем думать, кому ЭТО надо, чтобы так случилось!

  • 13 Smith

    Вот-вот! Заглушку убрали, так что должно переиндексироваться.

    В антиддос программе надо указать белые адреса яндекса и гугла. Тогда индексация не прекратится. Хостер должен бы об этом знать.

  • Сделай автоматическое добавление IP-адресов в блок-лист на недельку-месяц. Или сразу в ipfw

  • 15 Wan-Derer  [Москва]

    Кстати, странно что индексы пропали так быстро. Когда у меня умер сайт и не осталось копий пары статей, я нашёл их в каком-то вэб-архиве и именно поиском. Правда, я задавал в поиске точное название.

  • 16 CS  [Москва]

    Ну вот как-то и странно. Пока пофиг. Ждёмс неделю-другую и дальше смотрим, чего будет. Пока вот заблочил всё, что можно.

  • 17 stannum

    Кто?
    — Тот, у кого Вы недавно вызвали (возможно, неоднократно) сильные негативные эмоции, и у кого достаточно времени и денег.

    Зачем?
    — Удовлетворение от вызывания у Вас негативных эмоций, и попытка морально компенсировать недостаточность каких-то Ваших действий посредством вынуждения Вас к осуществлению других действий.

    Как мне представляется, выбор кандитатов у Вас ограничивается всего одним человеком. :)

  • 18 Designman  [Москва]

    А мне кажется что все дело в конкурентах ABB, ведь благодаря этому блогу очень многие заказчики и мастера подсели на него, а ведь есть еще Shneider, Legrand, IEK и.т.д. -у них ведь от этого серьезно страдают продажи… Особенно когда цены на продукцию в рублях возросли в два с лишним раза.

  • 19 CS  [Москва]

    ХА! Мне тут ещё подруга со стороны глаза открыла. Оказывается, дофига народа воспринимает меня как зажравшегося эгоиста из-за того, что я пишу так, как думаю. И что врагов у меня тьма тьмущая из-за этого может быть.
    Понятно что я манеру разговора менять не буду, но вот она привела пример. Стоим мы вчера в магазине, расплачиваемся на кассе, и тётка:
    — А вот бананы возьмите по акции.
    Я понимаю, что сейчас начнётся загруз типа «по акции», «не хотите оформить карточку» и прочее. А мы устали и хотим еду купить и домой пойти. Ну и я, так как отдыхать ездил, и выдаю:
    — Не, пасибо! Мы их вон только что на отдыхе в Африке покушали!

    И я-то это выдал как шутку, мол, не хотим мы ваших бананов, наелись ужо. А подруга подметила, как у кассирши адская зависть на лице отразилась, мол вот чувак понтуется и надменничает тут.

    Так что по ходу много-много народа мои посты так и воспринимает. Не самоиронией и шутками, а понтами. А так как я насобирал много больших щитов, то про них сейчас будут посты и видимо этой зависти будет ещё больше.
    Вот и получается, что на деле-то я ничего ТАКОГО не делаю: сделал — написал на блоге как на потоке захотелось. А каждый видит в этом то, чего внутри него есть. Кто-то позитивный стёбчик, а кто-то — чёрную зависть.

    Тем временем сайт потихоньку возвращается в поисковики. Вот!

    ЗЫ. В Африке, и Конкретно в Тунисе из-за того что он бывшая Французская колония (и получил свободу от Франции только в 1960х годах) в основном Legrand, Шнайдер. Корпуса щитов от Hager, а фонарные столбы… от EntrElec =))

  • 20 andrewkhv

    Cs, а не очково было в Тунис ехать? Там же арабская весна прошлась, Ливия рядом…

  • 21 CS  [Москва]

    Неа, не очково. Всё равно будет как будет. Может и кирпич на голову упасть, или можно у своего же подъезда насмерть подскользнуться.
    Там самое страшное было — бешеный водитель маршрутки, которая нас до общего экскурсионного автобуса подвозила. Едет местный: «Айша, айша, айша…» В МАШИНУ БАЦ, «Айша, айша, айша»… =)

    Мне Тунис нравится, я туда третий раз летаю без проблем. Там два раза перевороты устраивали, и из-за этого есть некоторые кризисы. Из-за них там навалом мусора, а так всё ОК.

  • 22 nexus  [St.Petersburg]

    Можно с помощью файла .htaccess закрыть доступ с определённого ip или из подсети.
    В вашем случае (судя по куску лога, приведённого выше) это будет выглядеть так:
    =======
    Order Deny,Allow
    Deny from 46.161.9.0/24
    =======

    Таким же образом можно настроить доступ к любой директории.

  • 23 CS  [Москва]

    Только DDoS означает распределённую атаку. С разных IP фигачат, и все не позакрываешь.

  • 24 nexus  [St.Petersburg]

    Я хорошо знаю что такое DDOS, надо весь лог смотреть, чтобы понять, что происходит. Думаю, достаточно было сделать написанное выше.

  • 25 CS  [Москва]

    Да оно и сделано сразу. Там другая возможность атаки была, на сам движок. Сейчас я её прикрыл по максимуму, и всё работает.

  • 26 nexus  [St.Petersburg]

    ну тогда хорошо что всё хорошо :) в интернетах много желающих подломать вордпресс. Да и вообще что-нибудь сломать. Особенно любят это дело граждане солнечного Китая

  • 27 CS  [Москва]

    Угу! Будем бороться, потихоньку! Пока вот всё работает.
    Правда, все эти атаки и прочее как-то так совпали с поведением ИЭКовского товарища, что хрен знает что там к чему было всё-таки.

  • 28 Caesarion  [Новосибирск]

    Оригинально восприняла администрация «Города мастеров» просьбу удалить аккаунт вообще. Понятно, что технически сделать это не слишком просто. Но они не просто забанили. Они сменили имя. Шаман, на Мастерсити ты теперь известен как Гость_ :-)

  • 29 CS  [Москва]

    Ой, наплевать! Я согласен и на такое. При этом аккаунт у меня там остался, да. Я в итоге сам пароль сменил нахер на непойми какой и забил на форум на тот. А по мотивам напишу потом пост.

    Мне кажется, что источником всего этого дерьма МастерСити и был. Может там кто с Jaja спелся, может ещё что. Теперь уже пофигу и наплевать.

  • 30 CS  [Москва]

    Ага, отлично! Мне тут продолжают угрозы сыпаться в почту и на сайт.
    Значит, фиксирую публично. Какой-то очередной чел, который зарегался с подставных мыл, чётко признался что:
    1. Ему платят за то, чтобы меня обсирать и писать про меня гадости.
    2. Обещал скоро устроить какой-то сюрприз на сайте.
    Кидаю скриншот мыла. Его почтовый адрес, скорее всего поддельный, такой: stove90@bk.ru, ник «Касьян Ерофеев».
    Так что если ВДРУГ с блогом что-то случится или будет какой-то пиздец — то обращаться к нему. Ну и прочее. А самое главное, что значит известно что за DDoS-атаку заплатили. Отлично!

    MailSpam

Оставить отзыв

Вы должны войти на блог, чтобы оставить комментарий.