Атака китайских ботов

Сообщение **Nekstati** » 18.06.2026 17:23

southklad, по идее вот так, а точнее посмотрите в коде страниц, какие у вас ссылки на вложения:

$isDownloadFile = (strpos($_SERVER['REQUEST_URI'], 'download/file.php') !== false);
// заменить на
$isDownloadFile = (strpos($_SERVER['REQUEST_URI'], '/pic/') !== false || strpos($_SERVER['REQUEST_URI'], '/thumb/') !== false);

Kuskow · Сообщение **Kuskow** » 18.06.2026 18:49

Nekstati писал(а): 18.06.2026 16:04 Kuskow, это была просто защита от полного дурака (неполный всегда нагуглит что ему надо).

Чтобы спастись от медведя, не нужно бежать быстрее медведя — достаточно бежать быстрее соседа.
Умный-то нагуглит, только зачем умному сдался конкретно мой форум? Ботнет чешет ковровой бомбардировкой по всем подряд. Натыкается на мой Nginx, получает от ворот поворот и идет ломать тех, у кого "всё стандартно". "неполные дураки" даже и гуглить не собирались, а у меня было время дождаться Вашего патча. Спасибо!

волчара · Сообщение **волчара** » 18.06.2026 21:50

Приветствую

Что бы не создавать новую тему пишу тут, если что не ругайтесь.
Сегодня мне gtpBot положил форум, два дня меня долбили гости до 110тыс за сутки,а может и больше долбили, наблюдал два дня, на сервере смотрел логи ничего про это не было, быстренько создал расширение для сессии гостей просмотр IP, все айпи с индии, подскажите как от него защитится.

Evangelion · Сообщение **Evangelion** » 18.06.2026 22:12

волчара, делать это Re: Атака китайских ботов либо это Re: Атака китайских ботов

волчара · Сообщение **волчара** » 18.06.2026 22:13

А счас полезли со всех щелей, вот кусок

лога

185.189.12.208 - - [18/Jun/2026:21:56:01 +0300] "GET / HTTP/1.1" 403 555 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/44.0.2403.157 Safari/537.36"
74.7.242.1 - - [18/Jun/2026:21:56:03 +0300] "GET /viewforum.php?f=32&sid=03e566f3aa0df2a7e3c1590955fb380e HTTP/1.1" 404 153 "http://sibir-omsk.ru/viewforum.php?f=62 ... 98af13fabd" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.4; +https://openai.com/gptbot)"
74.7.242.1 - - [18/Jun/2026:21:56:08 +0300] "GET /viewforum.php?f=26&sid=c09fbab81d253a3f084339a18ac8a973 HTTP/1.1" 404 153 "http://sibir-omsk.ru/viewtopic.php?amp; ... 4492&t=530" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.4; +https://openai.com/gptbot)"
74.7.242.1 - - [18/Jun/2026:21:56:13 +0300] "GET /viewforum.php?f=56&sid=bc1e18f6b60467b5b31b80cfb02b73e7 HTTP/1.1" 404 153 "http://sibir-omsk.ru/viewforum.php?f=68 ... 4a8b9d504e" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.4; +https://openai.com/gptbot)"
74.7.242.1 - - [18/Jun/2026:21:56:18 +0300] "GET /viewforum.php?f=75&sid=b2fa9238ca69e3d3adba378025f96e69 HTTP/1.1" 404 153 "http://sibir-omsk.ru/viewforum.php?f=32 ... c12c592bee" "Mozilla/5.0 AppleWebKit/537.36 (KHTML, like Gecko; compatible; GPTBot/1.4; +https://openai.com/gptbot)"
143.244.154.168 - - [18/Jun/2026:21:56:21 +0300] "GET /app.php/cron/cron.task.cron_task?sid=9f3961447ec203ca75c0256261b84178 HTTP/1.1" 404 555 "http://sibir-omsk.ru/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36"
123.24.125.243 - - [18/Jun/2026:21:56:22 +0300] "GET http://sibir-omsk.ru/app.php/cron/cron. ... 6261b84178 HTTP/1.1" 404 555 "http://sibir-omsk.ru/" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36"

хотя куда они долбятся если я все снес, понять не могу

Отправлено спустя 3 минуты 49 секунд:

Evangelion писал(а): 18.06.2026 22:12 делать это Re: Атака китайских ботов либо это Re: Атака китайских ботов

уже завтра буду делать, сегодня уже поздно, да и форум еще не поднял

Ne_Guru · Сообщение **Ne_Guru** » Вчера 11:24

Nekstati писал(а): 18.06.2026 16:04Ne_Guru, запросы выросли в ~4 раза, а нагрузка не выросла или даже чуть упала. Что и требовалось. Интереснее будет попозже глянуть график за ~двое суток, до и после.

На сегодняшний день ситуация такова:
"старый" форум (phpbb 3.2.11., Версия PHP - 5.6.40) - ситуация просто идеальная,
"мой" форум (phpbb 3.3.10., Версия PHP - 8.3.8) - с утра растет нагрузка.
Может, это еще какая-то атака?

Я раньше, раза три, в критических случаях обращался в техподдержку хостинга. Первый раз у меня была DDOS-атака (пришлось прибегнуть к платным средствам защиты хостинга для ее подавления); во второй - многочисленные запросы со стороны юзер-агента meta-externalagent, в среднем - 160 000 запросов в сутки; в третий - огромное количество запросов к сайту из подсетей Alibaba Cloud (около 200 000 за четыре часа). Техподдержка сама эти угрозы как-то блокировала (видимо, по блокировке ip-адресов). Причем все три атаки были именно на форум, не на сайт.
Так что, наверное, не только китайские, но и всякие разные другие боты являются проблемой.

Пока на моем форуме так.

nagruzka_total1.jpg

Ne_Guru · Сообщение **Ne_Guru** » Вчера 15:20

А вот как было при атаке из подсетей Alibaba Cloud, 4 апреля 2026.

2026_04_04.jpg

волчара · Сообщение **волчара** » Вчера 15:32

Восстановил форум с горем пополам, сделал как тут Re: Атака китайских ботов описано, теперь буду наблюдать.

Сообщение **Татьяна5** » Вчера 19:05

southklad писал(а): 18.06.2026 17:06 А на что заменить, если стоит SEO Images in attachment?

Полный список:

Код: Выделить всё

$isDownloadFile = (strpos($_SERVER['REQUEST_URI'], '/pic/') !== false || strpos($_SERVER['REQUEST_URI'], '/thumb/') !== false || strpos($_SERVER['REQUEST_URI'], '/small/') !== false || strpos($_SERVER['REQUEST_URI'], '/img/') !== false);

Михаил Молчанов

Ne_Guru писал(а): Вчера 15:20 А вот как было при атаке из подсетей Alibaba Cloud, 4 апреля 2026.
2026_04_04.jpg

Ну так до 100% не доходит. А у меня пробивает 100%

Ne_Guru · Сообщение **Ne_Guru** » Сегодня 12:38

Михаил Молчанов писал(а): Вчера 19:14 Ну так до 100% не доходит. А у меня пробивает 100%

Михаил, это не проценты, а используемые ресурсы. Трудно сказать, в чем именно хостер их измеряет.
Там, в графике, важна фиолетовая линия, это граница моего тарифа. Ее тогда "пробило насквозь", даже тариф за 172 рубля в сутки (неподъемная для меня плата) не спасал.

На сегодня у меня ситуация такая.

stat.jpg

Nekstati просила посмотреть, что будет через два дня после установки ее защиты от ботов.
Докладываю: вот общая нагрузка.

stat1.jpg

Продолжаю наблюдать.

А вообще, я очень рад, что есть форум, где можно подобными проблемами делиться и получить помощь.
Мне раньше казалось, что здесь все очень продвинутые-продвинутые, и мне среди них не место.

И еще по моей конкретно ситуации.
("мой" форум (phpbb 3.3.10., Версия PHP - 8.3.8)
Кол-во пользователей на форуме показывается адекватное, но вот нагрузки - довольно высокие.
Так, наверное, и должно быть? Не знаю.
Сам скрипт для меня - как китайская грамота, я просто вставил его в common.php - вот и всё.

Отправлено спустя 4 минуты :
P.S.
Тарифный план всё-таки "пробило".

stat2.jpg

Сообщение **Nekstati** » Сегодня 14:34

Ne_Guru писал(а): Сегодня 12:42 Кол-во пользователей на форуме показывается адекватное, но вот нагрузки - довольно высокие.

На самом-то деле кол-во посетителей осталось прежним, сколько-то сотен или тысяч, и на каждого из них сервер запускает обработку PHP. Мой скрипт не даёт запуститься тяжёлым скриптам форума и вызовам БД, когда обнаруживает бота, - но интерпретатор PHP всё равно запускается. В этом отличие от защиты, прописанной непосредственно в конфиге сервера, как описывали выше - там очередь до PHP не доходит. Пробуйте. Разница в нагрузке может быть многократная.

Смысл моего скрипта в том, что админу обычно удобнее прописать алгоритм защиты в PHP, понять такой алгоритм ему тоже проще, да и советы ИИ по PHP более предметные, чем по Nginx. Но защита через Nginx в любом случае эффективнее по нагрузке.

southklad · Сообщение **southklad** » Сегодня 14:42

Ne_Guru писал(а): Сегодня 12:42 тариф за 172 рубля в сутки

Зачем такие цены платить за хостинг? Почему не перейти например на VPD или подобное, раз настроить, по цену в разы дешевле.

Kuskow · Сообщение **Kuskow** » Сегодня 15:02

Сегодня пришла очередная идея насчёт блокировки ботов без использования Apache/Nginx. И вот стал я её реализовывать, изменил config.php - и сайт упал. Вообще не открывается, даже robots.txt. Вот я был на измене, капец, чуть не поседел. Хорошо, что есть ИИ, еле как вместе с ним разобрались, что это было совпадение. В этот же момент была сильная атака ботов, и HestiaCP ничего лучше не придумала как запустить ufw. А он возьми и заблокируй всё на свете, включая SSH. Представляете, сколько пота и седых волос мне это стоило! В общем, подробности опущу, как мы это обнаружили, еле как подняли сервер. А ещё в провайдерской консоли нельзя было войти, потому что пароль сложный, а ufw сыплет выдачей протокола в консоль. И вообще нельзя ввести пароль. Ну в общем, аттракцион огого!

Kuskow · Сообщение **Kuskow** » Сегодня 15:04

Ne_Guru писал(а): Сегодня 12:42 Мне раньше казалось, что здесь все очень продвинутые-продвинутые, и мне среди них не место

Мне и сейчас так кажется, я стесняюсь делиться своими мыслями, идеями именно поэтому. Мне кажется, что они слишком наивные.