почувствуй себя Аэрофлотом ! атака на форум

[ps7]

всем привет!
сегодня с утра по нашему времени, ночь по Москве. начали поступать жалобы пользователей, что форум то доступен, то нет...

хостинг Бегет (специально выделенный IP он же типо защищает от атак, ага...)

захожу в панель там нагрузка шкалит под 200% , гостей в форуме 7000 штук!! сбрасывал сессии раза три (наверное не понравилось это зарегиным юзерам)

запрашиваю Бегет - они как-то вяло отвечают раз в полчаса... ТОП ip - по обращениям.

вручную смотрю на левые айпишники (спасибо Татьяне за Антибот42. форум 3.3.5) закрываю доступ в .htaccess
включил все возможный антиспамы в форуме, отключил форму связи с администрацией (много запросов было к ней)
(как бы не пострадали нормальные юзеры??)

сначала были из Китая, Японии, Сингапура, сейчас полезло из Южной и Северной Америки...
дофига позакрывал уже , "температура снизилась", но еще далека от нормальной 1500 гостей !

коллеги, что посоветуете еще сделать???
могу прислать сюда список айпишников откуда лезли боты .. надо ?

п.с. это только у меня так или сегодня на все форумы полезли?
я конечно польщен таким вниманием к сайту, но я далеко не Аэрофлот...

п.п.с. можно ли ставить маску типа так ? Deny from 181.
я сейчас делаю Deny from 181.13.

[southklad]

Вам сюда Наплывы гостей. и вы не одиноки

[ps7]

я таки не понял
вам нужны токсичные айпишники для бана или нет?

[southklad]

Я этим сейчас пользуюсь, Honeypot Bot Protection Extension for phpBB 3.3.x за несколько дней в бан улетели больше 1000 IP, почти 1000 из них США

[Михаил Молчанов]

А как долго эти боты сидят на форуме? Это долгосрочная атака или на несколько минут?

[ps7]

как выяснилось с позднего вечера 14/08 это началось
я весь день от них отбивался.. где-то до обеда 15/08, снизил до 1200 гостей и решил, что приемлемо. форум не виснет. потом добью.

т.к. Бегет очень долго отвечал, пришлось практически в ручную через лог от Антибота42 банить,
то что прислал потом Бегет у меня уже 90% было закрыто.

сначала был Китай, Япония, Сингапур , потом Ирак, Турция, Саудовская, Индия, Катар, обе Америки.
вечером еще было "кипение", а вот сегодня с утра тишина, хотя я вечером ничего больше не банил..
сейчас еще дождусь вечернего списка от Бегета ну и их добавлю и могу сюда выставить

[ps7]

вот этот список, сделанный вручную.

Deny from 43.156.
Deny from 43.153.
Deny from 43.134.
Deny from 43.135.
Deny from 43.166.
Deny from 43.157.
Deny from 57.141.
Deny from 150.109.
Deny from 43.128.
Deny from 43.154.
Deny from 43.155.
Deny from 43.163.
Deny from 125.165.
Deny from 129.226.
Deny from 43.131.
Deny from 129.156.
Deny from 124.156.
Deny from 101.32.
Deny from 43.159.
Deny from 43.129.
Deny from 43.130.
Deny from 43.167.
Deny from 43.133.
Deny from 119.28.
Deny from 200.46.
Deny from 190.250.

Deny from 177.130.
Deny from 176.224.
Deny from 202.165.
Deny from 152.53.
Deny from 186.22.
Deny from 72.27.
Deny from 190.114.
Deny from 180.190.
Deny from 150.107.
Deny from 197.146.
Deny from 188.125.
Deny from 122.52.
Deny from 177.75.
Deny from 162.62.
Deny from 202.24.
Deny from 190.135.
Deny from 217.29.
Deny from 170.106.
Deny from 85.104.
Deny from 49.51.
Deny from 49.156.
Deny from 84.54.
Deny from 196.32.
Deny from 180.75.
Deny from 106.219.
Deny from 128.241.
Deny from 176.29.
Deny from 138.204.
Deny from 189.126.
Deny from 43.158.
Deny from 200.61.
Deny from 79.106.
Deny from 181.58.
Deny from 187.249.
Deny from 197.65.
Deny from 41.209.
Deny from 45.94.
Deny from 85.96.
Deny from 115.164.
Deny from 43.132.
Deny from 112.208.
Deny from 177.185.
Deny from 45.229.
Deny from 102.96.
Deny from 93.180.
Deny from 46.248.
Deny from 112.209.
Deny from 51.39.
Deny from 37.111.
Deny from 103.134.
Deny from 210.185.
Deny from 5.126.
Deny from 142.154.
Deny from 46.185.
Deny from 186.158.
Deny from 49.35.
Deny from 49.43.
Deny from 102.164.
Deny from 103.100.
Deny from 40.77.
Deny from 14.237.
Deny from 41.248.
Deny from 185.200.
Deny from 109.237.
Deny from 177.72.
Deny from 102.141.
Deny from 111.92.
Deny from 113.181.
Deny from 130.255.
Deny from 145.82.
Deny from 51.235.
Deny from 85.106.
Deny from 143.255.
Deny from 52.167.
Deny from 178.81.
Deny from 142.247.
Deny from 212.237.
Deny from 41.90.
Deny from 185.187.
Deny from 182.8.
Deny from 212.253.
Deny from 14.239.

Отправлено спустя 57 секунд:
и еще получил совет:

Вы можете использовать модуль geoip для Apache на этом сервере. Чтобы заблокировать страну, можно использовать к примеру следующую конфигурацию в .htaccess:

SetEnvIf GEOIP_COUNTRY_CODE CN BlockCountry
Deny from env=BlockCountry

В результате работы которой будет заблокирован Китай. База используется стандартная по странам и по городам. Отдельно базу подключать не нужно и не нужно включать сам mod_geoip, так как он уже включен в глобальной конфигурации.

Альтернативный способ с использованием mod_rewrite:

GeoIPEnable On
RewriteEngine On
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^(CN)$ [NC]
RewriteRule . - [F]

Чтобы заблокировать несколько стран, добавьте их внутрь скобок, разделяя вертикальной чертой |

GeoIPEnable On
RewriteEngine On
RewriteCond %{ENV:GEOIP_COUNTRY_CODE} ^(CN|NL|FR)$ [NC]
RewriteRule . - [F]

[angst66]

вот этот список, сделанный вручную.

На каждый ip еще нужно прописывать CIDR. А вообще потом может оказаться, что при просмотре своего сайта с другого айпишника или провайдера форум может покакзать ошибку 403

[ps7]

angst66,
это вряд ли! вы посмотрите страны откуда они. там нет России, это если только по VPN кто-то зайдет.

[MasterX]

вот этот список, сделанный вручную.

Deny from 43.156.
.....

А не проще отбивать через .htaccess отбивать тех, у кого хром меньше 95 версии?

вот примерные UA скрэперов

User-Agent Запросов % от общего
Mozilla/5.0 (Linux; Android 4.4.4; SM-T561) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/81.0.4044.138 Safari/537.36 14 11.1%
Mozilla/5.0 (Linux; Android 10; RMX2185) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/74.0.3729.169 YaBrowser/19.6.4.366.00 Mobile Safari/537.36 4 3.2%
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/78.0.3904.108 Safari/537.36 OPR/65.0.3467.78 2 1.6%
Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.54 Safari/537.36 OPR/81.0.4196.37 2 1.6%
Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/80.0.3987.132 Safari/537.36 2 1.6%

151427.jpg

[angst66]

это вряд ли!

Ну вот тогда мой пример. Забанил айпи города Хайфа, Израиль. Неделю назад поехал на море, интернет мегафон. Не могу зайти на свой форум. Методом исключения нашел пару тройку лет назад мною же вписаный в исключения айпи. При чем айпи мегафона был реально другим. Может РКН мудрит, может провайдеры не туда отправляют, но факт остается фактом.

[ps7]

>Неделю назад поехал на море, интернет мегафон.

а на море Вы поехали отдыхать куда? в Израиль?

А не проще отбивать через .htaccess отбивать тех, у кого хром меньше 95 версии?

может и проще, но я с этим не разобрался еще

у меня вот такой ТОП был в момент атаки, вроде более менее свежие Хромы в нем

42040 9.89% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36
33247 7.82% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.0.0 Safari/537.36
33120 7.79% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/110.0.0.0 Safari/537.36
24910 5.86% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/100.0.4896.75 Safari/537.36
24677 5.81% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.51 Safari/537.36
24591 5.79% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.0.0 Safari/537.36
24493 5.76% Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
24428 5.75% Mozilla/5.0 (Linux; Android 12; Pixel 6) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/99.0.4844.58 Mobile Safari/537.36
24399 5.74% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/101.0.4951.67 Safari/537.36
24182 5.69% Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/119.0.0.0 Safari/537.36
17342 4.08% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/131.0.0.0 Safari/537.36
17051 4.01% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/133.0.0.0 Safari/537.36
8673 2.04% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36
8656 2.04% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/109.0.0.0 Safari/537.36
8605 2.02% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/111.0.0.0 Safari/537.36
8577 2.02% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36
8566 2.02% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.5112.81 Safari/537.36
8566 2.02% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/105.0.0.0 Safari/537.3
8537 2.01% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
8530 2.01% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/112.0.0.0 Safari/537.36



я не совсем понимаю чего они этими атаками добиваются?
положить большую компанию, чтобы нанести ей ущерб - еще понятно
а тут форум - ломают пароли ? бросить сообщение в форуме - ссылку на сайт который им нужно раскрутить???

и еще вопрос , а нужно ли платить за выделенный IP ?? когда я его заводил мне объясняли что он дает защиту как раз от таких атак...

[Siava]

я не совсем понимаю чего они этими атаками добиваются?
положить большую компанию, чтобы нанести ей ущерб - еще понятно
а тут форум - ломают пароли ?

Это боты, которые поглощают весь контент для обучения ИИ. Не знаю с какой вы планеты, но такая напасть уже года 3 как.. если не больше.

[MasterX]

>Неделю назад поехал на море, интернет мегафон.

а на море Вы поехали отдыхать куда? в Израиль?

А не проще отбивать через .htaccess отбивать тех, у кого хром меньше 95 версии?

может и проще, но я с этим не разобрался еще

у меня вот такой ТОП был в момент атаки, вроде более менее свежие Хромы в нем

42040 9.89% Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/116.0.0.0 Safari/537.36

Все что ниже на данный момент 100й версии, можно спокойно срубать, что между 100 и 125-й отправлять на проверку через чекбокс, на отдельной странице, выше 125-й пропускать.
И сделать белый список для офф. ботов.
Не все боты улетят в ад, но нагрузка на форум/хостинг снизится очень значительно.

133057.jpg

До 13 числа этой защиты не было. После 13-го поставил сначала простую, затем комбинированную.

[angst66]

а на море Вы поехали отдыхать куда? в Израиль?

В Краснодарский край, я же написал интернет мегафон