404 Атака ботов на мой сайт (своего рода DDoS)

За последние несколько дней я заметил, что мой веб-сайт на Wordpress работает довольно медленно, поэтому решил разобраться. После проверки моей базы данных я увидел, что размер таблицы, отвечающей за отслеживание ошибок 404, превышает 1 ГБ. В этот момент было очевидно, что меня преследуют боты.

Проверив свой журнал доступа, я увидел, что существует своего рода шаблон, бот, казалось, приземлился на законную страницу, на которой были перечислены мои категории, а затем перешел на страницу категорий, и в этот момент они запрашивают, казалось бы, случайные номера страниц, многие из которых несуществующие страницы, вызывающие проблему.

Пример:

/watch-online/ - Landing Page
/category/evolution/page/7 - 404
/category/evolution/page/1
/category/evolution/page/3
/category/evolution/page/5 - 404
/category/evolution/page/8 - 404
/category/evolution/page/4 - 404
/category/evolution/page/2
/category/evolution/page/6 - 404
/category/evolution/page/9 - 404
/category/evolution/page/10 - 404

Это фактический порядок запросов, и все они выполняются в течение секунды, в этот момент IP-адрес блокируется, так как было выдано слишком много ошибок 404, но это, похоже, не имеет никакого влияния из-за огромного количества ботов, которые делают одно и то же.

Также категория меняется с каждым ботом, поэтому все они атакуют случайные категории и генерируют 404 страницы.

На данный момент насчитывается 2037 уникальных ip, с которых за последние 24 часа были выданы похожие ошибки 404.

Я также использую Cloudflare и вручную заблокировал доступ многих IP-адресов к моему ящику, но эта атака безжалостна, и кажется, что они продолжают генерировать новые IP-адреса. Вот список некоторых оскорбительных IP-адресов:

77.101.138.202
81.149.196.188
109.255.127.90
75.19.16.214
47.187.231.144
70.190.53.222
62.251.17.234
184.155.42.206
74.138.227.150
98.184.129.57
151.224.41.144
94.29.229.186
64.231.243.218
109.160.110.135
222.127.118.145
92.22.14.143
92.14.176.174
50.48.216.145
58.179.196.182

Кроме автоматической блокировки IP-адресов из-за слишком большого количества ошибок 404, я не могу придумать другого реального решения, и это само по себе совершенно неэффективно из-за огромного количества IP-адресов.

Будем очень признательны за любые предложения о том, как справиться с этим, поскольку этой атаке, похоже, нет конца, и производительность моих веб-сайтов действительно снижается.

Некоторые пользовательские агенты включают:

Mozilla/5.0 (Windows NT 6.3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/50.0.2661.86 Safari/537.36 
Mozilla/5.0 (Windows NT 6.2; rv:26.0) Gecko/20100101 Firefox/26.0 
Mozilla/5.0 (compatible; MSIE
10.0; Windows NT 7.0; WOW64; Trident/6.0) 
Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:22.0) Gecko/20100101 
Firefox/22.0 Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.103 Safari/537.36

web wordpress php apache ddos
person user1356029    schedule 25.05.2017    source источник
comment
Надеюсь, что этот другой поток поможет вам   -  person Foo Bar    schedule 25.05.2017
comment
Вам нужно отключить xml-rpc, у меня была такая же проблема.   -  person zakaria amine    schedule 25.05.2017
comment
@zakariaamine Хм, я отключил его через htaccess и файл functions.php, и меня все еще бомбардируют. :(   -  person user1356029    schedule 25.05.2017
comment
похоже, поэтому он получает статус 404. В этом случае я предлагаю использовать брандмауэр и внести IP-адреса в черный список.   -  person zakaria amine    schedule 25.05.2017
comment
Да, последние пару дней мне вручную добавляли IP-адреса как сумасшедшие, но безрезультатно, так как их так много, поэтому я сейчас изучаю модули Apache, такие как mod_evasive.   -  person user1356029    schedule 25.05.2017

Ответы (2)


arrow_upward
0
arrow_downward

Если это ваш личный веб-сайт, вы можете попробовать проверить Cloudflare, который является бесплатным, а также может обеспечить поддержку против любых ddos-атак. Может быть, вы можете попробовать.

person sudharsan tk    schedule 25.05.2017
comment
Спасибо за предложение, но в настоящее время я уже использую Cloudflare, и в данном конкретном случае это не очень помогает. - person user1356029; 25.05.2017

arrow_upward
0
arrow_downward

Итак, после долгих поисков, экспериментов и ударов головой я, наконец, смягчил атаку.

Решение состояло в том, чтобы установить модуль apache «mod_evasive», см.:

https://www.digitalocean.com/community/tutorials/how-to-protect-against-dos-and-ddos-with-mod_evasive-for-apache-on-centos-7

Так что для любой другой бедняги, которую ударили так же сильно, как и меня, взгляните на это и точно настройте свои пороги. Это простое, дешевое и очень эффективное средство радикального преуменьшения любого приступа, подобного тому, который я перенес.

Мой сервер все еще подвергается бомбардировке ботами, но это действительно ограничивает их ущерб.

person user1356029    schedule 25.05.2017