Что означают эти логи и как эти действия предотвратить?

Question

[Иван Козлов]

К моему сайту постоянно посылаются какие то запросы. Это dos атака? и как предотвратить такую проблему. Сервер не выдерживает нагрузки.

36.84.132.13 - - [09/Apr/2016:04:51:21 +0000] "POST /wp-admin/network/yfycwxido.php HTTP/1.0" 404 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
115.167.44.127 - - [09/Apr/2016:04:51:27 +0000] "POST /wp-admin/network/atmrm.php HTTP/1.0" 404 505 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
207.46.13.182 - - [09/Apr/2016:04:51:31 +0000] "GET /lgoy5v/resumo-capitulos-totalmente-de-mai-04-09-abril.html HTTP/1.0" 404 499 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
176.59.150.65 - - [09/Apr/2016:04:51:40 +0000] "POST /wp-admin/network/tmibcrh.php HTTP/1.0" 404 507 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
171.5.220.9 - - [09/Apr/2016:04:51:44 +0000] "POST /vmytamu.php HTTP/1.0" 404 490 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
36.85.227.247 - - [09/Apr/2016:04:52:09 +0000] "POST /wp-admin/network/cytjklbv.php HTTP/1.0" 404 508 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
95.174.203.131 - - [09/Apr/2016:04:52:18 +0000] "POST /wmuwgeje.php HTTP/1.0" 404 491 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
37.212.242.205 - - [09/Apr/2016:04:52:26 +0000] "POST /wp-admin/network/yfycwxido.php HTTP/1.0" 404 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
114.79.36.161 - - [09/Apr/2016:04:52:38 +0000] "POST /wp-admin/network/atmrm.php HTTP/1.0" 404 505 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
118.70.179.252 - - [09/Apr/2016:04:52:52 +0000] "POST /vmytamu.php HTTP/1.0" 404 490 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
90.143.9.27 - - [09/Apr/2016:04:53:25 +0000] "POST /bdvlwunu.php HTTP/1.0" 404 491 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
175.100.138.40 - - [09/Apr/2016:04:53:26 +0000] "POST /wmuwgeje.php HTTP/1.0" 404 491 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
125.165.21.210 - - [09/Apr/2016:04:53:36 +0000] "POST /wp-admin/network/yfycwxido.php HTTP/1.0" 404 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
39.36.170.169 - - [09/Apr/2016:04:53:39 +0000] "POST /wp-admin/network/atmrm.php HTTP/1.0" 404 505 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
203.111.234.173 - - [09/Apr/2016:04:53:57 +0000] "POST /vmytamu.php HTTP/1.0" 404 490 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
114.34.3.206 - - [09/Apr/2016:04:54:34 +0000] "POST /wmuwgeje.php HTTP/1.0" 404 491 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
139.193.42.61 - - [09/Apr/2016:04:54:35 +0000] "POST /bdvlwunu.php HTTP/1.0" 404 491 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
36.84.67.135 - - [09/Apr/2016:04:54:42 +0000] "POST /wp-admin/network/yfycwxido.php HTTP/1.0" 404 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
41.234.187.44 - - [09/Apr/2016:04:55:07 +0000] "POST /vmytamu.php HTTP/1.0" 404 490 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
114.32.206.153 - - [09/Apr/2016:04:55:20 +0000] "POST /yyagotnns.php HTTP/1.0" 404 492 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
14.181.247.83 - - [09/Apr/2016:04:55:20 +0000] "POST /wp-admin/network/tmibcrh.php HTTP/1.0" 404 507 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
193.109.128.146 - - [09/Apr/2016:04:55:30 +0000] "POST /wp-admin/network/cytjklbv.php HTTP/1.0" 404 508 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
41.232.90.204 - - [09/Apr/2016:04:55:48 +0000] "POST /bdvlwunu.php HTTP/1.0" 404 491 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
187.194.61.134 - - [09/Apr/2016:04:55:49 +0000] "POST /wmuwgeje.php HTTP/1.0" 404 491 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
14.164.85.194 - - [09/Apr/2016:04:55:57 +0000] "POST /wp-admin/network/yfycwxido.php HTTP/1.0" 404 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"

Comments

[Иван Козлов]

Neoline: Раньше каким то образом подобные файлы создавались(думаю что я плохо настроил ssh). Затем я сделал бекапы всех сайтов. Переустановил сервак. Очистил бекапы сайтов и загрузил заново. Запросы идут.

Answer 1

[Павел Волынцев]

Это прощупывание твоего сайта на уязвимость.
Можно попробовать удалить со страниц твоего сайта упоминание про версию CMS (

<meta name="generator" content="WordPress 4.4.2" />

). Также посмотри как отключить служебные HTTP заголовки типа "X-Powered-By:PHP/5.3.28". Как скрыть специфические директории /wp-content/ и /upload/. Как скрыть специфические файлы wp-login.php и другие. В общем, не дай сторонним сайтам узнать, что у тебя за CMS.
Есть специальные сервисы, через которые можно проверить - удалось ли скрыться (1, 2, 3)
Количество запросов уменьшится

По поводу

Сервер не выдерживает нагрузки.

Посмотри error.log - на каких страницах обычно падает по 500 или 501 ошибкам

Установи nginx+php-fpm вместо apache+mod_php и включи php-fpm slow log, выясни что там у тебя вызывает ошибки 502 request timeout (на тостере)

Через htaccess апача или конфиги nginx пропиши правила для ответа 404 Not Found на такой список URL

В nginx установи кэширование ответов с кодом 404 на час или больше, чтобы до PHP даже не добиралось.

Comments

[Иван Козлов]

Спасибо. Это самый профессиональный и дельный ответ:)

[Иван Козлов]

Павел Волынцев На сервере стоит панель vestaCp. Сейчас к сайтам, к которым идут подобные запросы просто проставлены html страницы(т.е. index.html в папке public_html каждого сайта). Т.е. они не должны какой то нагрузки создавать. Есть новый сайт(домен), который неизвестен. На нем стоит wordpress. Он ужасно долго грузится(пробовал перезапускать сервисы - не помогло). В панеле хостера показана нагрузка на cpu не больше 20% и трафик 300кб каждую минуту. В панеле vestaCp mysql жрет 2898 mb, а apache 1500 mb. Это же ненормально(работает только 1 сайт)?

[Павел Волынцев]

Иван Козлов: Мощность CPU, объём памяти достаточные? Диск SSD или HDD? Плагины для кэширования в Wordpress поставили? Какая версия PHP? Кэш для байт-кода (APC или иной ) - подключены?

[Иван Козлов]

Павел Волынцев: CPU2 x 2,7 ГГц, RAM512 Мб, xvda15 Гб, LAN10 МБит. диск ssd. Плагин для кеширвоания не ставил. Можно сказать чистый wordpress(не в нем точно дело). PHP 5.3.10. С кэшом не знаю что ответить и где посмотреть. Дефолтная установка vestaCp была без настроек моих. В прошлый раз этого достаточно было.

Answer 2

[Пума Тайланд]

фигня это а не ддос
проще забить
ну и 404 сделать статичной если напрягает динамика

Comments

[Roman K]

"Сервер не выдерживает нагрузки"
25 запросов за 4 минуты.
ха-ха.

[Иван Козлов]

Мне эти запросы на сервак нагрузку создают:(

[Иван Козлов]

Roman Kitaev: у меня там пару 10ков сайтов. И на все идут такие запросы.

[Пума Тайланд]

Иван Козлов: ну и 404 сделать статичной если напрягает динамика
и нагрузка упадет в ноль

[Roman K]

Иван Козлов: Ладно. 20 сайтов. 25 запросов за 4 минуты превращаются в 125 запросов в минуту или 2 запроса в секунду. Это ниачём. У меня raspberry pi первый в 12 раз больше выдерживает нагрузку.

[Иван Козлов]

Roman Kitaev: как я понимаю запрос запросу рознь. Т.Е. передаваемые сообщения могут быть разного размера. И можно тупо канал загрузить. Так ведь? я могу ошибаться.

[Roman K]

Иван Козлов: Посмотри, какое тело размером. Плюс, диски какие на VPS? Возможно, лучше поставить error log только на crit, чтобы не логгировался этот шлак.

Answer 3

[Дмитрий]

В добавок ко всему вышесказанному, могу лишь добавить, что можно блокировать особо назойливые адреса на уровне фаервола. Например, используя fail2ban.

Answer 4

[Pavel Nagaev]

fail2ban