FonOdinus 92 Posted 2013-02-03 14:44:09 Share Posted 2013-02-03 14:44:09 Приветствую. Обнаружил намедни что не откликается веб сервер, зашел и узрел LA в районе 100-120. В логах апача обнаружилось слудующее: Reveal hidden contents 46.185.62.186 - - [03/Feb/2013:16:08:31 +0200] "POST / HTTP/1.0" 200 22260 "7ww5t.com" "Mozilla/5.0 (compatible; Yahoo! Slurp China; http://misc.42vay9100052m4.com.cn/help.html)" 46.185.62.186 - - [03/Feb/2013:16:08:42 +0200] "POST / HTTP/1.0" 200 22260 "h095s9tuo.ru" "Mozilla/5.0 (compatible;MAINSEEK_BOT)" 46.185.62.186 - - [03/Feb/2013:16:08:48 +0200] "POST / HTTP/1.0" 200 22260 "83262r32gkixr.biz" "Mozilla/4.0 (compatible; SPENG)" 46.185.62.186 - - [03/Feb/2013:16:08:56 +0200] "POST / HTTP/1.0" 200 22260 "08f8ai98c51.com" "Mozilla/4.0 (compatible; MSIE enviable; DAUMOA 2.0; DAUM Web Robot; Daum Communications Corp., Korea; +http://ws.5d50k2r61.net/aboutkr.html)" 46.185.62.186 - - [03/Feb/2013:16:08:53 +0200] "POST / HTTP/1.0" 200 22260 "3b8ihchti74w5.ru" "Mozilla/5.0 (compatible; Abonti/0.8 - http://www.envzi241nks913.com)" 46.185.62.186 - - [03/Feb/2013:16:08:49 +0200] "POST / HTTP/1.0" 200 23000 "fq5nd0g.info" "Mozilla/5.0 (compatible; MSIE 6.0; Podtech Network; crawler_admin@84oj3a.net)" 46.185.62.186 - - [03/Feb/2013:16:08:50 +0200] "POST / HTTP/1.0" 200 22260 "hjs2dk7924c3za.net" "Mozilla/5.0 (compatible; heritrix/1.5.0-200506231921 http://5gcp5p.nla.gov.au/crawl.html)" 46.185.62.186 - - [03/Feb/2013:16:08:50 +0200] "POST / HTTP/1.0" 200 22260 "4a8f3kb.info" "Mozilla/4.0 (compatible; MSIE 5.5; Windows NT 5.0) Active Cache Request" 46.185.62.186 - - [03/Feb/2013:16:08:58 +0200] "POST / HTTP/1.0" 200 22260 "08l507o72.ru" "Mozilla/5.0 (compatible; Synoobot/0.9; http://www.hmoesp439.com/3z440n/bot.html)" 46.185.62.186 - - [03/Feb/2013:16:08:54 +0200] "POST / HTTP/1.0" 200 22260 "igkz9cu50fb983.info" "Mozilla/3.0 (compatible; Opera/3.0; Windows 95/NT4) 3.2" 46.185.62.186 - - [03/Feb/2013:16:08:48 +0200] "POST / HTTP/1.0" 200 22260 "9636s88mwo4v.info" "Mozilla/5.0 (compatible; +http://www.oe9mom.com/evrinid)" 46.185.62.186 - - [03/Feb/2013:16:08:59 +0200] "POST / HTTP/1.0" 200 22260 "nfcne.info" "Mozilla/5.0 (Windows;) NimbleCrawler 1.12 obeys UserAgent NimbleCrawler For problems contact: crawler@healthline.com" 46.185.62.186 - - [03/Feb/2013:16:08:50 +0200] "POST / HTTP/1.0" 200 22260 "y4r3j4g.ru" "Mozilla/4.0 (compatible; MSIE 5.0; AOL 5.0; Windows 95; DigExt; Gateway2000; sureseeker.com)" 46.185.62.186 - - [03/Feb/2013:16:08:39 +0200] "POST / HTTP/1.0" 200 22260 "57113447.info" "Mozilla/4.72 [en] (BACS http://www.ba.be)" 46.185.62.186 - - [03/Feb/2013:16:08:44 +0200] "POST / HTTP/1.0" 200 22260 "s131hrx10.com" "Mozilla/5.0 (compatible; heritrix/1.7.0 +http://www.521ky897.com/)" 46.185.62.186 - - [03/Feb/2013:16:08:58 +0200] "POST / HTTP/1.0" 200 22260 "r654i3o08r255x.com" "Mozilla/4.0 (compatible; MSIE 5.0; Windows 95) VoilaBot; 1.6" 46.185.62.186 - - [03/Feb/2013:16:08:37 +0200] "POST / HTTP/1.0" 200 22260 "r9466p.net" "Mozilla/3.0 (Vagabondo/2.0 MT; webcrawler@14y4v2k.nl; http://34r3q2955.nl/)" 46.185.62.186 - - [03/Feb/2013:16:08:47 +0200] "POST / HTTP/1.0" 200 22260 "2l7xf.biz" "Mozilla/1.1 (compatible; MSPIE 2.0; Windows CE)" Подобных запросов с этого айпи были десятки тысяч, проблема решилась путем закрытия данного уникума на маршрутизаторе. Вопрос в том, как уберечься от таких вот "тролей", можно ли вообще подлатать апач от таких атак? Какие следует принять меры по "работе" с этим айпи? Жалобы? Письма? Общественное мнение? Заблаговременно спасибо всем откликнувшимся. Link to post Share on other sites
andryas 1,062 Posted 2013-02-03 14:59:31 Share Posted 2013-02-03 14:59:31 Первое, что пришло в голову - ограничить число запросов за интервал времени от каждого клиента. Link to post Share on other sites
tivi 56 Posted 2013-02-03 15:31:21 Share Posted 2013-02-03 15:31:21 On 2/3/2013 at 2:59 PM, andryas said: Первое, что пришло в голову - ограничить число запросов за интервал времени от каждого клиента. +1 ограничить кол-во запросов с одного ай-пи в единицу времени. был патч, который добавлял что то вроде MaxServersPerIP +во фре (если апач под нею крутится) можно ограничить то же самое средствами самой фри. Link to post Share on other sites
gbot 11 Posted 2013-02-03 15:43:24 Share Posted 2013-02-03 15:43:24 Не первый раз подобное вижу. Поставьте nginx Им можно не только ограничивать по кол-ву запросов/ip, но и уберечь апач от подобных запросов и еще кучу всякого рода мусора. Link to post Share on other sites
Ihor 7 Posted 2013-02-03 19:38:23 Share Posted 2013-02-03 19:38:23 POST флуд Правила в Iptables помогут Link to post Share on other sites
muff 116 Posted 2013-02-03 19:52:11 Share Posted 2013-02-03 19:52:11 Прицепи mod_evasive. Настройка mod_evasive на веб-сервере под FreeBSD. Link to post Share on other sites
Sanito 129 Posted 2013-02-03 20:20:37 Share Posted 2013-02-03 20:20:37 nginx поставь ) И 5 запросов в секунду с одного ip. Link to post Share on other sites
NiTr0 585 Posted 2013-02-03 21:32:37 Share Posted 2013-02-03 21:32:37 Плюсую за nginx, + php-fpm бэкэнд... Link to post Share on other sites
mental 1 Posted 2014-01-04 20:17:05 Share Posted 2014-01-04 20:17:05 nginx способен выдерживать фантастические нагрузки. nginx + php-fpm либо просто fastcgi. он на порядок меньше памяти потребляет. Link to post Share on other sites
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now