Атака?

Вопросы о том как и что сделать чтобы работало
Правила форума
1. Один вопрос - одна тема. Не надо задавать в той же теме другие вопросы.
2. Не пишите в чужих темах, если ваша проблема не имеет отношения к обсуждаемой.
3. Давайте полное описание проблемы - имя сайта, имя сервера, учётная запись, способ воспроизведения, скриншот ошибки.
4. Пароли выкладывать в форум - НЕ НАДО
Ответить
Аватара пользователя
Otshelnik-Fm
Сообщения: 26
Зарегистрирован: 2013-10-15, 21:28:35
Откуда: Саратов
Контактная информация:

Атака?

Сообщение Otshelnik-Fm »

Привет.

Сегодня на 2х сайтах на вордпресс офигенно выросла посещаемость (это не нормально). Метрика показывает что заходы из поисковика гугла, но не определены. (обычно не определены 40 заходов, сегодня 1200 -96% трафика)
Все заходы из поисковика гугла идут мне на главную страницу. И дальше никуда. т.е. тупо "просматривают" одну страницу. Сайты вообще по тематике не похожи. И посещаемость раза в три отличалась. А сегодня из-за этой атаки по 1700 посещений главной.
Вебвизор у метрики не может воспроизвести эти заходы.

У вас сегодня у других клиентов не наблюдается такое?

upd. Это было вчера. А сегодня атака продолжается, и у одного сайта, по сравнению со вчерашним днем, больше таких заходов на 75%, у второго - на 135%!
Третий сайт на вордпрессе не трогают.

upd 2. Просмотрел логи и отчет метрики. Приходят на главную страницу сайта с разных айпи, с разных регионов, на сайте от 0 до 16 секунд. Заходят с гугла как не определенные (значит это авторизованные пользователи - т.к. гугл не отдает эти сведения для авторизованных пользователей ).

Вот один заход:

Код: Выделить всё

178.54.18.155 - - [25/Oct/2013:18:45:21 +0400] "GET / HTTP/1.0" 200 26229 "http://www.google.ru/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=1&cad=rja&ved=0CCwQFjAA&url=http%3A%2F%2Fbeoff.ru%2F&ei=zRlqUqGkI6PC4gSs24DYCA&usg=AFQjCNHGxJ-UcPiZPxYx76w7M2BYtRfvew&sig2=yOOEhGz_DrrAP1TYIx_lKA&bvm=bv.55123115,d.bGE" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; MRSPUTNIK 2, 0, 1, 31 SW; GTB6.5; MRA 5.2 (build 02415); .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)"
В нем в GET запросе в конце есть такой фрагмент:

Код: Выделить всё

zRlqUqGkI6PC4gSs24DYCA&usg=AFQjCNHGxJ-UcPiZPxYx76w7M2BYtRfvew&sig2=yOOEhGz_DrrAP1TYIx_lKA&bvm=bv.55123115,d.bGE
вот этот фрагмент и повторялся вчера 1602 раза - как раз на количество левых заходов. И сегодня он же 1700 раз уже присутствует.

На втором сайте:

Код: Выделить всё

147.30.168.243 - - [26/Oct/2013:14:43:59 +0400] "GET / HTTP/1.0" 200 13738 "http://www.google.ru/url?sa=t&rct=j&q=&esrc=s&frm=1&source=web&cd=1&cad=rja&ved=0CCoQFjAA&url=http%3A%2F%2Fpetfix.ru%2F&ei=QhpqUuelLsLn4gShyYAQ&usg=AFQjCNEgvGRW020Ux4oxlIMEntHCaMXTWg&sig2=WoEXRv6lGJAuCmgzHSFFTQ&bvm=bv.55123115,d.bGE" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; WebMoney Advisor; GTB6.5; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.1)"
присутствует фрагмент

Код: Выделить всё

QhpqUuelLsLn4gShyYAQ&usg=AFQjCNEgvGRW020Ux4oxlIMEntHCaMXTWg&sig2=WoEXRv6lGJAuCmgzHSFFTQ&bvm=bv.55123115,d.bGE
1300 раз.

Больше ни по каким общим признакам не идентифицируешь.

Что посоветуете делать в этой ситуации? Просто ждать?
Приют Отшельника. Ты ведь не боишься?
lissyara
Site Admin
Сообщения: 6464
Зарегистрирован: 2009-09-19, 22:04:41

Re: Атака?

Сообщение lissyara »

если они вам не нужны или мешают каким-то образом - можете забанить через .htaccess
Убей их всех! Бог потом рассортирует...
Аватара пользователя
adre
Сообщения: 1351
Зарегистрирован: 2010-04-29, 16:27:01
Контактная информация:

Re: Атака?

Сообщение adre »

Специально для вас поинтересовался этим вопросом. многие думают что это атака, также это новая фича гугла - скрытие запроса пользователя от владельца ресурса, по какому запросу нашли сайт, чтобы не использовали ключи для ранжирования. Скорее всего кто-то что-то ищет по вашему сайту. либо вы сами с подключенным аккаунтом гугла через https сколько заходов в час или в минуту с данным запросом?
Аватара пользователя
Otshelnik-Fm
Сообщения: 26
Зарегистрирован: 2013-10-15, 21:28:35
Откуда: Саратов
Контактная информация:

Re: Атака?

Сообщение Otshelnik-Fm »

lissyara забанить в .htaccess никак. Ведь используется только концовка запроса. Начало get разное, айпи разные, юзерагенты разные

adre -я тут и писал, что таким образом гугл скрывает авторизованных пользователей. Но вы не уловили поведенческий фактор который я описал - от 0-до 16 секунд приходят на главную и всё. Дальше никуда. посещение заканчивается. И одновременно эти ненормальные активности начались на 2х ну совсем разных сайтах. Но третий сайт мой на этом сервере обошли стороной. На форуме searchengines предполагали что это автокликеры.

И это не нормально что все идут на главную на 0-16 секунд, и больше никуда. 93% от сегодняшнего трафика. А вот те 7% оставшиеся - это и есть нормальные будни.

Сам я вижу как-то так: зараженные компьютеры пользователей каким то боком лезут сюда с этими параметрами.
Приют Отшельника. Ты ведь не боишься?
Аватара пользователя
adre
Сообщения: 1351
Зарегистрирован: 2010-04-29, 16:27:01
Контактная информация:

Re: Атака?

Сообщение adre »

на форуме поисковых систем много чего предполагают. многие просто банят реферера google.ru на какой-то промежуток времени. либо задают вопрос про бота, если нет ответа то в блэк лист ip адресс. повторюсь - 1300 не атака. а отголоски чего-то. потому-что если реально подумать ну обслужить 1300 кликеров - проблема? пусть счетчики накручивают. рекламу можно будет дороже поставить. если возникнет реальная атака, то использование ресурсов вырастет в разы и как правило это ощущается. пусть крутят.
Аватара пользователя
adre
Сообщения: 1351
Зарегистрирован: 2010-04-29, 16:27:01
Контактная информация:

Re: Атака?

Сообщение adre »

http://itkopilka.ru/stat.23.html - вот там есть такой же фрагмент с переменной:

Код: Выделить всё

 bvm=bv.55123115,d.bGE
и на многих сайтах.
Аватара пользователя
Otshelnik-Fm
Сообщения: 26
Зарегистрирован: 2013-10-15, 21:28:35
Откуда: Саратов
Контактная информация:

Re: Атака?

Сообщение Otshelnik-Fm »

adre - В принципе да, нагрузка не сильно выросла. Подождем, посмотрим что дальше будет и когда это закончится. Рефера с гугла гасить не буду - там и нормальные люди приходят
Приют Отшельника. Ты ведь не боишься?
Аватара пользователя
Otshelnik-Fm
Сообщения: 26
Зарегистрирован: 2013-10-15, 21:28:35
Откуда: Саратов
Контактная информация:

Re: Атака?

Сообщение Otshelnik-Fm »

Сегодня перевес пошел в сторону прямых заходов. Опознать по параметрам никак. Всё разное.
Приют Отшельника. Ты ведь не боишься?
Аватара пользователя
Otshelnik-Fm
Сообщения: 26
Зарегистрирован: 2013-10-15, 21:28:35
Откуда: Саратов
Контактная информация:

Re: Атака?

Сообщение Otshelnik-Fm »

10 дней все было спокойно.

Вчера - сегодня атака идет. вновь неизвестные-прямые заходы (в нормальные дни один сайт в среднем 400, а сейчас 3000 уников. Второй сайт 200, а сейчас 2000). Неопределенные заходы с поиска. Просто с яндекса без поисковых запросов. И с одного непонятного сайта без ссылок с конкретных страниц. Атакуют вновь 2 моих сайта. 3й сайт обошли стороной. Заходят все так же на одну конкретную страницу сайта. Визит длительностью 10 секунд и без переходов на вторую страницу (вебвизор яндекса их не отслеживает). В частности интересуют их или главная страница сайта, или статистика, или последние комментарии. Т.е. это не интерес к ключевому слову или фильму. Все симптому как в начале этого топика.

Треть - реферы с сайта pr ons ex . com (я намеренно вставил пробелы) - сайт - хз знает что из себя представляет. Одна страница - я не разобрался с ним.

Что за зверь и как бороться?
Приют Отшельника. Ты ведь не боишься?
Аватара пользователя
Otshelnik-Fm
Сообщения: 26
Зарегистрирован: 2013-10-15, 21:28:35
Откуда: Саратов
Контактная информация:

Re: Атака?

Сообщение Otshelnik-Fm »

оффтоп: думаю сегодня все пользователи на 2м сервере почувствуют тормоза. А я устал, я спать и на работу...
Приют Отшельника. Ты ведь не боишься?
Ответить