Атака китайских ботов

[rxu]

процедурного стиля

Это вообще никак не влияет ни на что. Это вопрос именно стиля, много старого кода в ядре.

Или там дофига ковырять?

Если получится, то в 4 версии поковыряют.

[Michel]

Чистый двиг phpBB из коробки тоже не так сильно грузит систему.

только он уязвим к атакам! У PHPBB все еще много т.н. "процедурного наследия"... В своей глубокой основе PHPBB остается заложником процедурного стиля и старой архитектуры нулевых...

Не говорю, что он плохой. Он просто не умеет противостоять современному уже не совсем чистому инету.

Есть такое дело. Даже многие новые расширения имеют наследство старого кода, который зачастую приходиться переделывать. Благо разработка не останавливается. Ждём четвёрку...

Кстати rxu я так понимаю 3.3.16 будет последней. Не подскажите дату выхода, хотя бы примерно. Уж больно долго она висит, ожидал выхода ещё пол года назад.

[rxu]

Не подскажите дату выхода, хотя бы примерно.

Никто не знает этой даты, никаких планов выпуска версий нет.
Как только будет готова - так сразу выйдет.

[Siava]

500+ ботов онлайн он спокойно держит не создавая нагрузки на проц и на MySQL Из коробки, без всякого допиливания!

Фи.. такой себе показатель. У меня и 13.5К нормально держало почти без какой-либо нагрузки с 100+ расширений) А если использовать кэширование в nginx, то и 100К онлайн выдержит.

Менять движок форума для того, чтобы на нём продолжать кормить ботов контентом - такое себе. Ну разве что это путь ленивого админа, который прогибается под внешнюю фигню, а не противостоит ей. Удачи короче.

[jd8615]

Фи.. такой себе показатель

Удвою. Не те нагрузки чтоб думать об масштабировании. APCu + Opcache (+ в нём jit buffer) Проблемы обычно на тухлых хостингах, по первой хватит своего VPS на SSD. А дальше можно уже думать о кешах, вертикальном и горизонтальном развитии. Но скорее всего это никому не нужно будет. Не те нагрузки.

PS Кстати, Redis кто то прикручивал к phpbb?

[MasterX]

Фи.. такой себе показатель. У меня и 13.5К нормально держало почти без какой-либо нагрузки с 100+ расширений) А если использовать кэширование в nginx, то и 100К онлайн выдержит.

Слабоватая аргументация.. Компенсировать железом устаревший софт, вот это именно такое себе... Но если нравится - кто мешает!

[rxu]

Компенсировать железом устаревший софт

С точностью до наоборот. DDoS невозможно остановить на уровне пользовательского софта. Если HTTP запрос дошел до уровня phpBB - бороться с ним уже поздно.

[Alekcandr101]

С точностью до наоборот. DDoS невозможно остановить на уровне пользовательского софта. Если HTTP запрос дошел до уровня phpBB - бороться с ним уже поздно.

Очень точно.

Поскольку у меня виртуальный хостинг и чисто русскоязычный форум, мои действия по борьбе с ботами наверно мало кому подойдут.
Но вдруг кому пригодится.
Вставил в .htaccess все наши адреса и запретил остальные. Запретил подключение по ipv6. Предоставлять ботам адреса из ipv4 для захода по VPN, желающих особо нет.
И уже на самом форуме стоит замечательное расширение против спамеров от Татьяна5, если я правильно понимаю.
Форум работает нормально, можно сказать идеально. Был дикий наплыв всё увеличивающегося числа ботов, а последние 2 месяца не одного.
Но такая конструкция, с десятками тысяч строк в .htaccess, это ненормально.
На уровне сервера, проблема решается по щелчку пальца, установкой модуля GeoIP. И там уже можно сколь угодно гибко настраивать фильтрацию по адресам, странам, городам и т. д. Но мне это недоступно.
Хочу попробовать следующее. Запрос всё таки будет доходить до форума, но если адрес вне списка разрешённого, будет отдаваться страница 404.
Тогда уже от хостера не завишу, и смогу настраивать списки запрещённых адресов. А у ботов будет нулевой интерес ломиться на форум, они устанут и забудут про меня.
Но для этого, в начале запрашиваемой страницы, мне нужно вставить строчку кода. В связи с этим вопрос. Как это сделать? Прописать в common.php?

[Triniti]

У меня блокирование всех адресов, кроме активных участников, по маскам, т.е. диапазонов, заняло примерно 500 строк. И уже постепенно все разблокировала .

[Michel]

Была тоже атака перед новым годом. Но стоит не плохая капча + многообсуждающее расширение которое кэширует инфу и отдаёт статическую страницу ботам. В итоге полёт нормальный, конечно нагрузка по выше, по сравнению с отдачей 404 или 403 страницей. Но на виртуальном хостинге всё норм. На данный момент имею 9081 неудачную регистрацию в основном не могут пройти капчу. А залётные смотрят статику
Пока живём без блокировок по IP

6.jpg

[Кактус]

У меня бот вот такого вида
meta-externalagent/1.1 (+https://developers.facebook.com/docs/sh ... rs/crawler)

Robots.txt чёй-та не действует на него
а в .htaccess лезть очень не хочется ((

Отправлено спустя 1 час 54 минуты 39 секунд:
Пришлось всё-таки лезть в .htaccess и добавить там вот такое

Order Allow,Deny
Allow from all
Deny from 57.141.0.0/16
Deny from 57.141.20.0/24

RewriteEngine On
RewriteCond %{HTTP_USER_AGENT} ^.*(meta-externalagent|FacebookBot).*$ [NC]
RewriteRule .* - [F,L]

ну, вот так подействовало, ура
(до следующих ботов) (((

[ЯМарина]

Добрый день! Сегодня днем заметила, что сайт еле грузится, и обнаружила, что количество посещений зашкаливает...

Больше всего посетителей (12875) здесь было 22 фев 2026, 14:50

Я, конечно, счастлива была бы, если бы это были живые люди, но увы. Что можно сделать?

[MasterX]

Добрый день! Сегодня днем заметила, что сайт еле грузится, и обнаружила, что количество посещений зашкаливает...

Больше всего посетителей (12875) здесь было 22 фев 2026, 14:50

Я, конечно, счастлива была бы, если бы это были живые люди, но увы. Что можно сделать?

Редактировать .htaccess
Добавлять блокировки скреперских сетей.

Вот примерно, что нужно добавить
Re: Как забанить ботов на сервере nginx

[Kuskow]

Мне ИИ подсказал такую схему. NGINX обрезает всплески частых заходов, а уже на втором уровне fail2ban сам видит, кому грубо отвечают, банит по IP-адресам. Вроде бы работает. Ну хотя бы пользователи не ждут.

nano /home/юзер/conf/web/сайт/nginx.ssl.conf_extra (путь у каждого свой будет, у меня HestiaCP)

Код: Выделить всё

limit_req zone=forum_limit burst=100 nodelay;

nano /etc/nginx/conf.d/ratelimit.conf

Код: Выделить всё

imit_req_zone $binary_remote_addr zone=forum_limit:10m rate=20r/s;

[MasterX]

главное обрезать паразитный траф, от датацентров, что бы у реальных пользователей и правильных ботов проблем с доступом не было.
Как правило весь мусор сыпется с OVH, алибабы, Digital Ocean, немецкий какой-то провайдер есть.
Там VPS продается за 2-3$ в месяц, вот считай почти готовая ботоферма.