Привет всем! Как оказалось, что не только в жизни, но и в Интернете тебе могут встретиться различного рода недоброжелатели.
Так произошло и с моим сайтом, который подвергся ddos атаке. Если честно, я вообще никогда не слышала о том, что на сайты бываю атаки. Я думала, что это касается только хостингов. И как я ошибалась…
Расстраивает то, что сайт у меня еще совсем «молодой» с небольшим количеством статей, а тем более посетителей, а уже кому-то я «перешла дорогу».
В интернете нашла информацию, что подобного рода атаки не влияют на поведенческие факторы сайта. Не соглашусь, потому что в те дни, когда шла атака на мой сайт, у меня счетчик liveinternet определил только 2 посетителей, в том числе меня. Поэтому я и догадалась, что что-то идет не так.
Факторы, указывающие, что на ваш сайт идет атака
Итак, как я уже писала выше, обратите внимание на счетчик liveinternet. Мне не сложно было сделать небольшой анализ, потому что в день на мой сайт заходит от 5 до 10 человек. Если вы наблюдаете, что посещение вашего сайта резко упало, пора «бить тревогу». Но этот момент не всегда связан именно с атакой.
Далее вам понадобится сервис Яндекс Метрики. Именно по Яндекс Метрике я увидела, что на сайт идет атака. Потому что он мне выдавал посещений в сутки аж 55 человек!
Если кто-то может этому обрадоваться, то не спешите, а обратите внимание на показатель Отказы. Если этот показатель возрастает и приближается к 100%, значит, на ваш сайт идет ddos атака.
Важное замечание: Вебвизор такое посещение «не видит» вообще!
Способы защиты сайта от ddos атак
Давайте разберем по шагам, как защитить свой сайт от ddos атак.
1 шаг – обратитесь в поддержку вашего хостинга. Домен моего сайта находится именно на хостинге TimeWeb, поэтому я обратилась туда. У них есть некоторый «техплан» по спасению вашего сайта, и они предлагают возможную помощь.
Перед тем как обратиться на хостинг, я искала информацию в интернете по спасению сайта от атак. И как раз про логи информацию увидела. Только вот найти эту папку в корневой директории никак не могла.
Поэтому я и советую сначала обратиться на хостинг. Там мне и подсказали, что прежде, чем скачать логи, нужно их включить!
Кроме этого TimeWeb предложил мне поставить пароль на директорию. Это мне не подходило, потому что после этого при входе на сайт он стал запрашивать этот самый пароль.
В случае атаки на сайт можно поставить кнопку, которая будет отражать автоматизированные запросы.
Выглядеть будет она вот таким образом:
И если мне понятно назначение данной кнопки, то настоящих посетителей моего сайта она скорей всего отпугнет.
Поэтому переходим ко второму шагу…
2 шаг – включите использование Log файлов. Я не знаю каким образом реализуется такая возможность на других хостингах, но именно на TimeWeb ее нужно включить.
Если вы срочно хотите разобраться с проблемой, то Log файлы за предыдущие дни вы можете запросить у хостинга.
За log файла на TimeWeb отвечает папка access log. Здесь вы увидите с каких ip адресов, сайтов идут запросы на ваш сайт.
Я тогда не сделала скриншот, но суть была в том, что с разных ip шли запросы на мой сайт. С каких-то ip запросов было больше, с каких-то меньше. Так же там есть запросы от Яндекс ботов. Вообщем, чтобы выбрать ip вредителей, вам нужна будет еще одна программа Awstats. Я читала, что ее нужно устанавливать дополнительно. Но на хостинге TimeWeb она стоит по умолчанию.
3 шаг – проанализируйте свой сайт через программу Awstats. Сделать это можно просто: введите в браузерной строке ваш домен/awstats. Потребуется ввести логин и пароль, который вы вводите при входе в админку хостинга.
Перед вами откроется примерно такая «картина»:
Слева из меню выберите Неразрешенный IP адрес.
Именно здесь и кроются в большинстве случаев вредные ip адреса. Так как в день атаки на моем сайте не было посетителей, то почти все ip адреса – от недоброжелателя).
Кстати, я забыла уточнить, что ip адреса, с которых идет атака на сайт, мы ищем, чтобы запретить через них доступ на свой сайт.
Обратите внимание на столбцы Хиты и Объем.
На некоторых ip адресах здесь показатели выше, а это значит, что через них автоматических обращений на ваш сайт идет больше. Скопируйте их и сохраните в папке или Блокноте. Сейчас мы будем редактировать файл htaccess.
4 шаг – редактируем файл htaccess. Сейчас мы ограничим доступ к нашему сайту с «вредных» ip адресов.
В первую очередь вам необходимо скачать файл .htaccess себе на компьютер. Сделать это можно через FTP например FileZilla.
Открываем этот файл с помощью бесплатной программы Notepad++. Скачать ее можно отсюда notepad-plus-plus.org.
Чтобы правильно прописать команду по ограничению доступа в htaccess, мне 3 раза пришлось обратиться к специалистам хостинга. Потому что иногда они отвечаю так, как будто все владельцы сайтов – это крутые вебмастера). Тем не менее в беде они не бросают. Итак, последний ответ с хостинга, который меня устроил.
В htaccess вам необходимо дописать следующее:
## USER IP BANNING Order Deny,Allow Deny from Deny from Deny from Deny from allow from all
Где Deny from – это выявленные вами «вредные» ip адреса.
Что получилось у меня:
Теперь обязательно сохраните изменения в файле .htaccess и загрузите его обратно в корневую папку вашего домена через FileZilla.
С этой атакой мы справились. Только 23 августа ровно через 8 дней меня ждал следующий сюрприз.
Атака на сайт перебор XML-RPC
Теперь уже ежедневно анализируя сводку в Яндекс Метрике я увидела, что опять резко возросло количество посетителей одновременно с показателем Отказы.
Наученная горьким опытом я открыла Log файлы. И вот что я там увидела:
De-nezhnye-ruchejki.ru 120.27.114.224 – – [23/Aug/2016:06:56:54 +0300] “POST /xmlrpc.php HTTP/1.0” 200 441 “-” “XML-RPC.NET”
Суть данной атаки – это перебор паролей к админке вашего сайта.
Для отражения данной ddos атаки вам понадобится 2 плагина:
Скачать эти плагины можно прямо из консоли вашего сайта в меню Плагины – Добавить новый.
Плагин Login Security Solution. Обратите внимание на настройки, которые необходимо изменить. Данный плагин ограничивает попытки авторизации на сайте.
И сейчас я сижу и пишу статью и вижу, что с утра произошло 8 изоляций с последнего сброса счетчика. Значит, атака все еще идет.
Плагин Disable XML-RPC настройки не требует, его нужно просто активировать.
На сегодняшний день самый простой способ защитить админку сайта от взлома – это блокировка по IP.
Вот таким образом в некоторых случаях можно обезопасить свой сайт от ddos атак. Не знаю, что мой сайт ждет дальше, потому что попытки навредить мне продолжаются. К сожалению, в нашем мире много таких недолюбленных людей, которые сами несчастливы и другим устраивают проблемы.
Денежные ручейки