Tinklapis gauna DDOS ataką

Sveiki,

Vieną iš mano tinklapių atakuoja botai iš 15 šalių, per naktį vien apie 15mln request. Laikoma iv.lt shared serveryje, o kala tik mano vieną svetainę tiek, kad net visas shared sušlubuoja.

Įjungiau CF mode I am under attack, užblokavau keletą pagrindinių šalių iš kur eina atakos ( Rusija, LV, Vokietija ir JAV), tačiau vis tiek svetainė toliau puolama ir neveikia funkcionalumai.

Tai yra straipsnių katalogas. Kaip tokių atveju dar galima papildomai apsisaugoti? Anksčiau tai buvo kažkada valstybinis puslapis, darau prielaidą, kad jis papuolė į sąrašus per klaidą.

Visu pirma, reikia identifikuoti kokios rusies tai DDoS'as. Antra, reikia nedelsiant svetaine iskelti is IV i VPS'a, jame galima atlikti pakeitimus kurie padidins svetaines apsauga. Parasyk PM kas per svetaine ir ka turi pasidares CF.

Prieš 12 minučių, nix parašė:

Visu pirma, reikia identifikuoti kokios rusies tai DDoS'as. Antra, reikia nedelsiant svetaine iskelti is IV i VPS'a, jame galima atlikti pakeitimus kurie padidins svetaines apsauga. Parasyk PM kas per svetaine ir ka turi pasidares CF.

Kokiu tikslu kelt į VPN? Padarai Cloudflare WAF kai ne crawleris ir source iš užsienio ir viskas, galės tie botai captchas spręst

Prieš 1 minutę, erne456 parašė:

Kokiu tikslu kelt į VPN? Padarai Cloudflare WAF kai ne crawleris ir source iš užsienio ir viskas, galės tie botai captchas spręst

Šis dalykas suveikė, ačiū 😉 svetaine 1k lankytojų turintis blogas tiesiog, nera nei vartotoju registruotu nieko

Tą patį pranešimą gavo ir klientas, kad ten jis gauną tą Doss'ą. Nors manau dosą leidžia ant IP adreso, tad nelabai gal ir gali jie nustatyti kas dosinama, bet galbūt klystu. 

Prieš valandą, erne456 parašė:

Kokiu tikslu kelt į VPN? Padarai Cloudflare WAF kai ne crawleris ir source iš užsienio ir viskas, galės tie botai captchas spręst

Tokiu, jog apriboti svetaines pasiekiamuma tik is CF IP adresu. T.y. kad niekas neateitu nepraejes pro CF. Shared hostingas taip lanksciai konfiguracijos keisti neleidzia.

Gerai kad WAF ijungimas pagelbejo, taciau jei kenkejai pakeis puolimo taktika bus vel galvos skausmas.

Galvoti i prieki reikia, ypac jei is svetaines turinio uzdirbama. Poziuris "programa minimum" galioja viesosiose istaigose.

Prieš 48 minutes, juodagalvis parašė:

Tą patį pranešimą gavo ir klientas, kad ten jis gauną tą Doss'ą. Nors manau dosą leidžia ant IP adreso, tad nelabai gal ir gali jie nustatyti kas dosinama, bet galbūt klystu. 

Sitas pades: https://developers.cloudflare.com/fundamentals/basic-tasks/protect-your-origin-server/

Tik shared hostinge to padaryti neis. T.y. pacios svetaines gali tiesiogiai ir nepulti, pakaks nusodinti pati node'a (mazga). Tarkim sitas: https://alksnis.serveriai.lt/

Prieš 3 minutes, nix parašė:

Sitas pades: https://developers.cloudflare.com/fundamentals/basic-tasks/protect-your-origin-server/

Tik shared hostinge to padaryti neis. T.y. pacios svetaines gali tiesiogiai ir nepulti, pakaks nusodinti pati node'a (mazga). Tarkim sitas: https://alksnis.serveriai.lt/

Būtent taip ir buvo. Iv.lt buvo susisiekę, jei netvarkysiu svetainės išims iš hostingo, nes kitų svetainės pradėjo strigti 😄

Iv.lt pasake, kad serveryje vienintelė mano svetainė puolama yra

Tau reikia ddos apsaugoto webhostingo, is patirties rekomenduoju https://www.hyperfilter.com/web-hosting/

o tai ka IV? ar byby deja?

Prieš 9 minutes, MrHeksas parašė:

o tai ka IV? ar byby deja?

iv.lt vadovaujasi punktais:

Citata

 

Puolamas yra ne serveris, o Jūsų svetainė. Šiuo atveju pagal sutarties sąlygas, jei nesiimsite veiksmų, svetainė gali būti išjungiama, o Jums fiksuojamas sutarties sąlygų pažeidimas. Plačiau sutarties sąlygų 3.1.5. punkte:

https://sutartys.iv.lt/preview/svetaines_talpinimas.php

Už pačios svetainės (ne serverio) saugumą ir veiklą atsakote Jūs arba Jūsų svetainės programuotojas.

Jei kils papildomų klausimų, drąsiai kreipkitės.

 

Prieš 49 minutes, MrHeksas parašė:

o tai ka IV? ar byby deja?

ne, tiesiog ismes is servo😄

Prieš valandą, MrHeksas parašė:

o tai ka IV? ar byby deja?

niekam neidomus "probleminiai klientai" - geriau prarasti kelis probleminius klientus ir sutaupyti laiko ant jų bėdų sprendimo, nei supportinti kiekvieną netipinę situaciją, kas kainuoja kaip taisyklė didesnius sąnaudos kaštus...

kai psakoma: sorry - it's just business.. 🙂

O ką tiekėjas, jūsų manymu, gali padaryti tokiu atveju? 

Iš karto atsakau: nuo tradicinių DDOS paketų/srauto apsaugoti serveriai čia nepadės.

Pažvengti, pasišypsoti, pirštais į tiekėją rodyti visi gali ir visi moka 🙂

Iš iv.lt pusės bent gavau instrukcijas ir patarimus įsijungti cloudflare, tik ne iš karto pavyko setupinti viską 😄 bet puikiai tvarkosi siuo metu cloudflare, rekomenduoju 😄

Prieš 32 minutes, Mr Kent parašė:

Iš iv.lt pusės bent gavau instrukcijas ir patarimus įsijungti cloudflare, tik ne iš karto pavyko setupinti viską 😄 bet puikiai tvarkosi siuo metu cloudflare, rekomenduoju 😄

Labai teisingai rekomendavo, nes tiekėjai neturi galimybių apsaugoti nuo Layer7 atakų ir tą turi daryti specializuoti tiekėjai. Būtent kai įsijungia capcha, botai ir sustoja. 

Viską pasako iv.lt laikymas.

O daugiausiai pasako viską iv.lt kainodara ir kainų kėlimo dažnumas 😄

Manau bėda, kad tavo puslapis kaip minėjai kažkada buvo valstybinis. Šią savaitę vyksta masinės LTU, LTV ir EST valstybinės IT infrastruktūros atakos iš Killnet, Beregini, RaHDlt grupuočių. Žodžiu netinkamą domeną pasirinkai, cloudfare paparasčiausias ir greičiausias sprendimas šiuo atveju 🙂

2023-09-06 10:54, nix parašė:

Tokiu, jog apriboti svetaines pasiekiamuma tik is CF IP adresu. T.y. kad niekas neateitu nepraejes pro CF. Shared hostingas taip lanksciai konfiguracijos keisti neleidzia.

Gerai kad WAF ijungimas pagelbejo, taciau jei kenkejai pakeis puolimo taktika bus vel galvos skausmas.

Galvoti i prieki reikia, ypac jei is svetaines turinio uzdirbama. Poziuris "programa minimum" galioja viesosiose istaigose.

Na, jei tiekėjas ne dėjęs ant klientų, tai pats tą padaro.