edmsl Опубликовано 12 мая, 2023 Поделиться Опубликовано 12 мая, 2023 (изменено) Сегодня посмотрел логи, а там ночью недавно зареганый пользователь 4 часа долбился по несуществующим адресам. Записи такого вида: https://site.ru/7D8B79A2-8974-4D7B-A76A-F4F29624C06BxRdK58PDSzD3_oHGiF8P6ukzYbCRENeVlM_CmuNK-SSMo_4_OVg3p1PNi51BLULkQ5LvYnfJQG34mMOGCNikeA/init?url=https%3A%2F%2Frubarius.ru%2Ftopic%2F618-%D1%83%D1%81%D1%82%D0%B0%D0%BD%D0%BE%D0%B2%D0%BA%D0%B0-%D0%B8-%D0%BE%D0%B1%D1%81%D1%83%D0%B6%D0%B4%D0%B5%D0%BD%D0%B8%D0%B5-%D1%81%D0%B1%D0%BE%D1%80%D0%BA%D0%B8%2F&plugins=wsm%26wnt%26vs%26ua%26cb%26xhr_content&data={"data"%3A[{"plugin"%3A"wsm"%2C"parameters"%3A"{\"referrer\"%3A\"https%3A%2F%2Frubarius.ru%2F\"%2C\"stubId\"%3A\"\"}"}%2C{"plugin"%3A"wnt"%2C"parameters"%3A"{\"referrer\"%3A\"https%3A%2F%2Frubarius.ru%2F\"}"}%2C{"plugin"%3A"xhr_content"%2C"parameters"%3A"{\"referrer\"%3A\"https%3A%2F%2Frubarius.ru%2F\"}"}]}&isTopLevel=true&nocache=16d39 И постоянно разные запросы, штук по 10-15 в минуту, иногда реже. При этом один раз у него изменился ip адрес. В общей сложности больше 2000-х тысяч записей в логе. Что это - зловредный бот? Или начинающий ддосер? Изменено 12 мая, 2023 пользователем edmsl Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 12 мая, 2023 Поделиться Опубликовано 12 мая, 2023 edmsl 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edmsl Опубликовано 12 мая, 2023 Автор Поделиться Опубликовано 12 мая, 2023 Интересно, как они подбирают сайты для атак. У нас активности и так практически нет давно. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edmsl Опубликовано 12 мая, 2023 Автор Поделиться Опубликовано 12 мая, 2023 Проверил эти IP. AS25159, SONICDUO-AS - PJSC MegaFon Т.е. это адреса какого-то бота мегафона и все адреса AS25159 можно в бан, там не будет нормальных пользователей? Просто диапазон достаточно широкий. Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 12 мая, 2023 Поделиться Опубликовано 12 мая, 2023 2 часа назад, edmsl сказал: это адреса какого-то бота мегафона Кто-то настроил сервер и подключил его к интернету от Мегафона. Начни с блокировки по блоку IP адресов. А там посмотришь. Весь мегафон банить вряд ли стоит. Нужный блок можешь найти тут: https://ipinfo.io/AS25159 edmsl 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 12 мая, 2023 Поделиться Опубликовано 12 мая, 2023 6 часов назад, edmsl сказал: Или начинающий ддосер? Скорее всего один из твоих пользователей, решивший стать мамкиным хакером. edmsl 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
edmsl Опубликовано 13 мая, 2023 Автор Поделиться Опубликовано 13 мая, 2023 Тут что-то часто мелькало упоминание некоего Хетцнер. Вчера вот 500 запросов от него. HETZNER-AS - Hetzner Online GmbH Это кто такие? Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Zero108 Опубликовано 13 мая, 2023 Поделиться Опубликовано 13 мая, 2023 (изменено) Известный дата-центр. Если по ASN пробивается hosting на https://ipinfo.io/, то можешь банить. Можешь у меня купить файл с 1500 дата-центрами для фаервола на Cloudflare. Изменено 13 мая, 2023 пользователем Zero108 edmsl 1 Цитата Ссылка на комментарий Поделиться на другие сайты Поделиться
Рекомендуемые сообщения
Присоединяйтесь к обсуждению
Вы можете написать сейчас и зарегистрироваться позже. Если у вас есть аккаунт, авторизуйтесь, чтобы опубликовать от имени своего аккаунта.
Примечание: Ваш пост будет проверен модератором, прежде чем станет видимым.