trampick
@trampick
Веб-разработчик

Что означают эти логи и как эти действия предотвратить?

К моему сайту постоянно посылаются какие то запросы. Это dos атака? и как предотвратить такую проблему. Сервер не выдерживает нагрузки.
36.84.132.13 - - [09/Apr/2016:04:51:21 +0000] "POST /wp-admin/network/yfycwxido.php HTTP/1.0" 404 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
115.167.44.127 - - [09/Apr/2016:04:51:27 +0000] "POST /wp-admin/network/atmrm.php HTTP/1.0" 404 505 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
207.46.13.182 - - [09/Apr/2016:04:51:31 +0000] "GET /lgoy5v/resumo-capitulos-totalmente-de-mai-04-09-abril.html HTTP/1.0" 404 499 "-" "Mozilla/5.0 (compatible; bingbot/2.0; +http://www.bing.com/bingbot.htm)"
176.59.150.65 - - [09/Apr/2016:04:51:40 +0000] "POST /wp-admin/network/tmibcrh.php HTTP/1.0" 404 507 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
171.5.220.9 - - [09/Apr/2016:04:51:44 +0000] "POST /vmytamu.php HTTP/1.0" 404 490 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
36.85.227.247 - - [09/Apr/2016:04:52:09 +0000] "POST /wp-admin/network/cytjklbv.php HTTP/1.0" 404 508 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
95.174.203.131 - - [09/Apr/2016:04:52:18 +0000] "POST /wmuwgeje.php HTTP/1.0" 404 491 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
37.212.242.205 - - [09/Apr/2016:04:52:26 +0000] "POST /wp-admin/network/yfycwxido.php HTTP/1.0" 404 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
114.79.36.161 - - [09/Apr/2016:04:52:38 +0000] "POST /wp-admin/network/atmrm.php HTTP/1.0" 404 505 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
118.70.179.252 - - [09/Apr/2016:04:52:52 +0000] "POST /vmytamu.php HTTP/1.0" 404 490 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
90.143.9.27 - - [09/Apr/2016:04:53:25 +0000] "POST /bdvlwunu.php HTTP/1.0" 404 491 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
175.100.138.40 - - [09/Apr/2016:04:53:26 +0000] "POST /wmuwgeje.php HTTP/1.0" 404 491 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
125.165.21.210 - - [09/Apr/2016:04:53:36 +0000] "POST /wp-admin/network/yfycwxido.php HTTP/1.0" 404 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
39.36.170.169 - - [09/Apr/2016:04:53:39 +0000] "POST /wp-admin/network/atmrm.php HTTP/1.0" 404 505 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
203.111.234.173 - - [09/Apr/2016:04:53:57 +0000] "POST /vmytamu.php HTTP/1.0" 404 490 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
114.34.3.206 - - [09/Apr/2016:04:54:34 +0000] "POST /wmuwgeje.php HTTP/1.0" 404 491 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
139.193.42.61 - - [09/Apr/2016:04:54:35 +0000] "POST /bdvlwunu.php HTTP/1.0" 404 491 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
36.84.67.135 - - [09/Apr/2016:04:54:42 +0000] "POST /wp-admin/network/yfycwxido.php HTTP/1.0" 404 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
41.234.187.44 - - [09/Apr/2016:04:55:07 +0000] "POST /vmytamu.php HTTP/1.0" 404 490 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
114.32.206.153 - - [09/Apr/2016:04:55:20 +0000] "POST /yyagotnns.php HTTP/1.0" 404 492 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
14.181.247.83 - - [09/Apr/2016:04:55:20 +0000] "POST /wp-admin/network/tmibcrh.php HTTP/1.0" 404 507 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
193.109.128.146 - - [09/Apr/2016:04:55:30 +0000] "POST /wp-admin/network/cytjklbv.php HTTP/1.0" 404 508 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
41.232.90.204 - - [09/Apr/2016:04:55:48 +0000] "POST /bdvlwunu.php HTTP/1.0" 404 491 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
187.194.61.134 - - [09/Apr/2016:04:55:49 +0000] "POST /wmuwgeje.php HTTP/1.0" 404 491 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
14.164.85.194 - - [09/Apr/2016:04:55:57 +0000] "POST /wp-admin/network/yfycwxido.php HTTP/1.0" 404 509 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:12.0) Gecko/20100101 Firefox/12.0"
  • Вопрос задан
  • 5042 просмотра
Решения вопроса 1
copist
@copist
Мидл, хочешь стать синьором? http://copi.st/ExhE
Это прощупывание твоего сайта на уязвимость.
Можно попробовать удалить со страниц твоего сайта упоминание про версию CMS (
<meta name="generator" content="WordPress 4.4.2" />
). Также посмотри как отключить служебные HTTP заголовки типа "X-Powered-By:PHP/5.3.28". Как скрыть специфические директории /wp-content/ и /upload/. Как скрыть специфические файлы wp-login.php и другие. В общем, не дай сторонним сайтам узнать, что у тебя за CMS.
Есть специальные сервисы, через которые можно проверить - удалось ли скрыться (1, 2, 3)
Количество запросов уменьшится

По поводу
Сервер не выдерживает нагрузки.

Посмотри error.log - на каких страницах обычно падает по 500 или 501 ошибкам

Установи nginx+php-fpm вместо apache+mod_php и включи php-fpm slow log, выясни что там у тебя вызывает ошибки 502 request timeout (на тостере)

Через htaccess апача или конфиги nginx пропиши правила для ответа 404 Not Found на такой список URL

В nginx установи кэширование ответов с кодом 404 на час или больше, чтобы до PHP даже не добиралось.
Ответ написан
Пригласить эксперта
Ответы на вопрос 3
opium
@opium
Просто люблю качественно работать
фигня это а не ддос
проще забить
ну и 404 сделать статичной если напрягает динамика
Ответ написан
plin2s
@plin2s
IT, инженер
В добавок ко всему вышесказанному, могу лишь добавить, что можно блокировать особо назойливые адреса на уровне фаервола. Например, используя fail2ban.
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы