Атака китайских ботов

Сообщение **Nekstati** » Вчера 17:23

southklad, по идее вот так, а точнее посмотрите в коде страниц, какие у вас ссылки на вложения:

$isDownloadFile = (strpos($_SERVER['REQUEST_URI'], 'download/file.php') !== false);
// заменить на
$isDownloadFile = (strpos($_SERVER['REQUEST_URI'], '/pic/') !== false || strpos($_SERVER['REQUEST_URI'], '/thumb/') !== false);

Kuskow · Сообщение **Kuskow** » Вчера 18:49

Nekstati писал(а): Вчера 16:04 Kuskow, это была просто защита от полного дурака (неполный всегда нагуглит что ему надо).

Чтобы спастись от медведя, не нужно бежать быстрее медведя — достаточно бежать быстрее соседа.
Умный-то нагуглит, только зачем умному сдался конкретно мой форум? Ботнет чешет ковровой бомбардировкой по всем подряд. Натыкается на мой Nginx, получает от ворот поворот и идет ломать тех, у кого "всё стандартно". "неполные дураки" даже и гуглить не собирались, а у меня было время дождаться Вашего патча. Спасибо!

волчара · Сообщение **волчара** » Вчера 21:50

Приветствую

Что бы не создавать новую тему пишу тут, если что не ругайтесь.
Сегодня мне gtpBot положил форум, два дня меня долбили гости до 110тыс за сутки,а может и больше долбили, наблюдал два дня, на сервере смотрел логи ничего про это не было, быстренько создал расширение для сессии гостей просмотр IP, все айпи с индии, подскажите как от него защитится.

Evangelion · Сообщение **Evangelion** » Вчера 22:12

волчара, делать это Re: Атака китайских ботов либо это Re: Атака китайских ботов

волчара · Сообщение **волчара** » Вчера 22:13

А счас полезли со всех щелей, вот кусок

лога

185.189.12.208 - - [18/Jun/2026:21:56:01 +0300] "GET / HTTP/1.1" 403 555 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.157 Safari/537.36"
74.7.242.1 - - [18/Jun/2026:21:56:03 +0300] "GET /viewforum.php?f=32&sid=03e566f3aa0df2a7e3c1590955fb380e HTTP/1.1" 404 153 "http://sibir-omsk.ru/viewforum.php?f=62 ... 98af13fabd" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.4; +https://openai.com/gptbot)"
74.7.242.1 - - [18/Jun/2026:21:56:08 +0300] "GET /viewforum.php?f=26&sid=c09fbab81d253a3f084339a18ac8a973 HTTP/1.1" 404 153 "http://sibir-omsk.ru/viewtopic.php?amp; ... 4492&t=530" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.4; +https://openai.com/gptbot)"
74.7.242.1 - - [18/Jun/2026:21:56:13 +0300] "GET /viewforum.php?f=56&sid=bc1e18f6b60467b5b31b80cfb02b73e7 HTTP/1.1" 404 153 "http://sibir-omsk.ru/viewforum.php?f=68 ... 4a8b9d504e" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.4; +https://openai.com/gptbot)"
74.7.242.1 - - [18/Jun/2026:21:56:18 +0300] "GET /viewforum.php?f=75&sid=b2fa9238ca69e3d3adba378025f96e69 HTTP/1.1" 404 153 "http://sibir-omsk.ru/viewforum.php?f=32 ... c12c592bee" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.4; +https://openai.com/gptbot)"
143.244.154.168 - - [18/Jun/2026:21:56:21 +0300] "GET /app.php/cron/cron.task.cron_task?sid=9f3961447ec203ca75c0256261b84178 HTTP/1.1" 404 555 "http://sibir-omsk.ru/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36"
123.24.125.243 - - [18/Jun/2026:21:56:22 +0300] "GET http://sibir-omsk.ru/app.php/cron/cron. ... 6261b84178 HTTP/1.1" 404 555 "http://sibir-omsk.ru/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36"

хотя куда они долбятся если я все снес, понять не могу

Отправлено спустя 3 минуты 49 секунд:

Evangelion писал(а): Вчера 22:12 делать это Re: Атака китайских ботов либо это Re: Атака китайских ботов

уже завтра буду делать, сегодня уже поздно, да и форум еще не поднял

Ne_Guru · Сообщение **Ne_Guru** » Сегодня 11:24

Nekstati писал(а): Вчера 16:04Ne_Guru, запросы выросли в ~4 раза, а нагрузка не выросла или даже чуть упала. Что и требовалось. Интереснее будет попозже глянуть график за ~двое суток, до и после.

На сегодняшний день ситуация такова:
"старый" форум (phpbb 3.2.11., Версия PHP - 5.6.40) - ситуация просто идеальная,
"мой" форум (phpbb 3.3.10., Версия PHP - 8.3.8) - с утра растет нагрузка.
Может, это еще какая-то атака?

Я раньше, раза три, в критических случаях обращался в техподдержку хостинга. Первый раз у меня была DDOS-атака (пришлось прибегнуть к платным средствам защиты хостинга для ее подавления); во второй - многочисленные запросы со стороны юзер-агента meta-externalagent, в среднем - 160 000 запросов в сутки; в третий - огромное количество запросов к сайту из подсетей Alibaba Cloud (около 200 000 за четыре часа). Техподдержка сама эти угрозы как-то блокировала (видимо, по блокировке ip-адресов). Причем все три атаки были именно на форум, не на сайт.
Так что, наверное, не только китайские, но и всякие разные другие боты являются проблемой.

Пока на моем форуме так.

nagruzka_total1.jpg

Ne_Guru

А вот как было при атаке из подсетей Alibaba Cloud, 4 апреля 2026.

2026_04_04.jpg

волчара

Восстановил форум с горем пополам, сделал как тут Re: Атака китайских ботов описано, теперь буду наблюдать.