Задать вопрос

CPU загружается на 100% из за запросов mysql. Как отразить ddos?

Целый день лежит сайт, т.к процессор нагружен на 100 процентов. На сайт приходят странные запросы которые содержат ссылки на другие сайты, еще делают редиректы так:
GET /bitrix/redirect.php?goto=https%3A%2F%2Fchess24.com%2Fhttp%3A%2F%2Fmitgaard.com%2Fbitrix%2Fredirect.php%3Fgoto%3Dhttps%253A%252F%252Fwww.lovelyskin.com%252Fviewswitcher%252Fswitchview%253Fmobile%253DTrue%2526returnUrl%253Dhttps%25253A%25252F%25252Fforum.amperka.ru%25252Fproxy.php%25253Flink%25253Dhttp%2525253A%2525252F%2525252Fwww.ensp.fiocruz.br%2525252Fportal-ensp%2525252Fentrevista%2525252Fcounter.php%2525253Fcontent%2525253Dlink%25252526contentid%2525253D32190%25252526link%2525253Dhttps%252525253A%252525252F%252525252Fmaps.google.com.ar%252525252Furl%252525253Fsa%252525253Dj%2525252526source%252525253Dweb%2525252526rct%252525253Dj%2525252526url%252525253Dhttps%25252525253A%25252525252F%25252525252Fwww.franchising.com%25252525252Fevent_tracker.


Проверяю ресурсы сервера через htop и там куча запросов на maradb и из за этого cpu нагружается на 100
spoiler
65b542035a454561235390.png
бд на докере. Перезагрузка не помогает, сразу пополняются новые запросы

Это ddos атака? Если да, то как можно его отразить?
spoiler
65b5413e1518d248887472.png
  • Вопрос задан
  • 1366 просмотров
Подписаться 5 Простой 13 комментариев
Пригласить эксперта
Ответы на вопрос 4
@koder_1
Битрикс программист
/bitrix/redirect.php - Эти скрипты, rk.php, redirect.php ограничьте через nginx или htaccess чтоб были доступны только с локального сервера, а с внешних адресов не доступны.
Ответ написан
Комментировать
ThunderCat
@ThunderCat
{PHP, MySql, HTML, JS, CSS} developer
1) fail2ban
2) Временно повесить заглушку "на сайте идут технические работы, все пучком"
3) Ждите, через некоторое время ботнет целиком поместиться в банлист и нагрузка упадет

Про адекватные решения по типу подключить Cloudflare вы скорее всего и сами знаете.
Ответ написан
@veroni1337 Автор вопроса
В итоге проблема решилась когда я удалил текущий докер контейнер и поставил вместо него другой контейнер mariadb, перенес туда базу данных и поменял доступы. После этого запросы сразу перестали поступать
Ответ написан
Комментировать
@ffedorovanton
Сам долго с подобной проблемой возился(узнал что сервер взломали только когда нашел эксплоит для эскалации привилегий). Итог такой, перенес все на новый сервер, старый был полностью скомпрометирован и искать что-то там было просто не выгодно, на новом сервере проблемы не было.

P.S проверьте на безопасность Битрикс так как может повториться снова
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы