Сегодня посмотрел логи, а там ночью недавно зареганый пользователь 4 часа долбился по несуществующим адресам. Записи такого вида:

https://site.ru/7D8B79A2-8974-4D7B-A76A-F4F29624C06BxRdK58PDSzD3_oHGiF8P6ukzYbCRENeVlM_CmuNK-SSMo_4_OVg3p1PNi51BLULkQ5LvYnfJQG34mMOGCNikeA/init?url=https%3A%2F%2Frubarius.ru%2Ftopic%2F618-%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-%D0%B8-%D0%BE%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5-%D1%81%D0%B1%D0%BE%D1%80%D0%BA%D0%B8%2F&plugins=wsm%26wnt%26vs%26ua%26cb%26xhr_content&data={"data"%3A[{"plugin"%3A"wsm"%2C"parameters"%3A"{\"referrer\"%3A\"https%3A%2F%2Frubarius.ru%2F\"%2C\"stubId\"%3A\"\"}"}%2C{"plugin"%3A"wnt"%2C"parameters"%3A"{\"referrer\"%3A\"https%3A%2F%2Frubarius.ru%2F\"}"}%2C{"plugin"%3A"xhr_content"%2C"parameters"%3A"{\"referrer\"%3A\"https%3A%2F%2Frubarius.ru%2F\"}"}]}&isTopLevel=true&nocache=16d39

И постоянно разные запросы, штук по 10-15 в минуту, иногда реже. При этом один раз у него изменился ip адрес. В общей сложности больше 2000-х тысяч записей в логе.

Что это - зловредный бот? Или начинающий ддосер?

Edited 12 мая, 20231 yr by edmsl

 

Интересно, как они подбирают сайты для атак. У нас активности и так практически нет давно.

Проверил эти IP.

AS25159, SONICDUO-AS - PJSC MegaFon

Т.е. это адреса какого-то бота мегафона и все адреса AS25159 можно в бан, там не будет нормальных пользователей? Просто диапазон достаточно широкий.

2 часа назад, edmsl сказал:

это адреса какого-то бота мегафона

Кто-то настроил сервер и подключил его к интернету от Мегафона. Начни с блокировки по блоку IP адресов. А там посмотришь. Весь мегафон банить вряд ли стоит. 

Нужный блок можешь найти тут: https://ipinfo.io/AS25159

6 часов назад, edmsl сказал:

Или начинающий ддосер?

Скорее всего один из твоих пользователей, решивший стать мамкиным хакером.

Тут что-то часто мелькало упоминание некоего Хетцнер. Вчера вот 500 запросов от него.

HETZNER-AS - Hetzner Online GmbH

Это кто такие?

Известный дата-центр. Если по ASN пробивается hosting на https://ipinfo.io/, то можешь банить. Можешь у меня купить файл с 1500 дата-центрами для фаервола на Cloudflare. 

Edited 13 мая, 20231 yr by Zero108