За последние несколько дней я заметил, что мой веб-сайт WordPress работал довольно медленно, поэтому я решил провести расследование. После проверки базы данных я обнаружил, что размер таблицы, которая отвечала за отслеживание ошибок 404, был больше 1 ГБ. В этот момент было очевидно, что меня преследуют боты.
После проверки моего журнала доступа я мог видеть, что был какой-то шаблон, бот, казалось, приземлился на допустимой странице, которая перечисляла мои категории, а затем переместилась на страницу категории, и в этот момент они запрашивают кажущиеся случайными номера страниц, многие из которых являются несуществующими страницами, вызывающими проблему.
Пример:
/watch-online/ - Landing Page
/category/evolution/page/7 - 404
/category/evolution/page/1
/category/evolution/page/3
/category/evolution/page/5 - 404
/category/evolution/page/8 - 404
/category/evolution/page/4 - 404
/category/evolution/page/2
/category/evolution/page/6 - 404
/category/evolution/page/9 - 404
/category/evolution/page/10 - 404
Это фактический порядок запросов, и все они происходят в течение секунды, в этот момент IP-адрес блокируется, так как было выброшено слишком много 404, но это, похоже, не оказывает влияния из-за огромного количества ботов, которые делают одно и то же.
Кроме того, категория меняется с каждым ботом, поэтому все они атакуют случайные категории и генерируют 404 страницы.
На данный момент существует 2037 уникальных IP-адресов, которые сгенерировали аналогичные 404 за последние 24 часа.
Я также использую Cloudflare и вручную заблокировал доступ многих ip-ов к моему ящику, но эта атака беспощадна, и кажется, что они продолжают генерировать новые ip. Вот список некоторых нарушающих IP-адресов:
77.101.138.202
81.149.196.188
109.255.127.90
75.19.16.214
47.187.231.144
70.190.53.222
62.251.17.234
184.155.42.206
74.138.227.150
98.184.129.57
151.224.41.144
94.29.229.186
64.231.243.218
109.160.110.135
222.127.118.145
92.22.14.143
92.14.176.174
50.48.216.145
58.179.196.182
Кроме автоматической блокировки ip для слишком большого количества ошибок 404, я не могу придумать никакого другого реального решения, и это само по себе довольно неэффективно из-за огромного количества ip.
Будем весьма благодарны за любые предложения о том, как бороться с этим, поскольку этой атаке, похоже, нет конца, и производительность моих веб-сайтов действительно падает.
Некоторые пользовательские агенты включают в себя:
Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.86 Safari/537.36
Mozilla/5.0 (Windows NT 6.2; rv:26.0) Gecko/20100101 Firefox/26.0
Mozilla/5.0 (compatible; MSIE
10.0; Windows NT 7.0; WOW64; Trident/6.0)
Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:22.0) Gecko/20100101
Firefox/22.0 Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36
Если это ваш личный веб-сайт, вы можете попробовать проверить cloudflare, который является бесплатным, а также может оказать поддержку против любых атак ddos. Может быть, вы можете попробовать.
Итак, после долгих поисков, экспериментов и ударов головой я, наконец, смягчила атаку.
Решением было установить модуль apache ‘mod_evasive’, см.
Так что для любой другой бедной души, которую бросают так же сильно, как я, смотрю на это и точно настраиваю ваши пороги. Это простой, дешевый и очень эффективный способ резко преуменьшить любую атаку, похожую на ту, что я перенес.
Мой сервер все еще подвергается бомбардировке, но это действительно ограничивает их урон.