1 Востаннє редагувалося ktretyak (04.11.2014 08:51:19)

Тема: Те що я спостерігаю в статистиці, це підготовка до DoS атаки?

Мінімум пару-трійку місяців спостерігаю дивну поведінку окремих відвідувачів мого сайта.

Якщо вірити ІР-адресам, то всі такі дивні відвідувачі приходять з Московії.

Як правило,
* з декількох ІР-адрес одночасно запитуються сторінки мого сайта
* здається ніколи ці запити не мають реферала, тобто сторінки з якої вони перейшли
* досить рідко приходять запити з однієї і тієї ж ІР-адреси
* їх завжди об'єднує мова: ru-RU, та роздільність екрана 1272x997

Таке буває від одного до п'яти заходів, і що саме дивне, що ІР-адреси постійно змінюються. Тому я вже подумую, чи не готується якась DoS атака. Хоча поки що сайт не значущий для широкої аудиторії, може вони це тільки так готуються на майбутнє...

Картинка зі статистикою

https://1933a544b9b651d3813e8de397efcd5a179e17e8.googledrive.com/host/0Bwk9euTxkxYUOFFUS29tSGJ4eXM/replace.org.ua/img/ddos.png

2

Re: Те що я спостерігаю в статистиці, це підготовка до DoS атаки?

Я думаю, що це павук, який зберігає вміст вашого сайту.

Подякували: koala1

3

Re: Те що я спостерігаю в статистиці, це підготовка до DoS атаки?

0xDADA11C7 написав:

Я думаю, що це павук, який зберігає вміст вашого сайту.

Павук, який маже ніколи не приходить з однієї ІР адреси? Чому одночасно з кількох ІР одночасно?

4

Re: Те що я спостерігаю в статистиці, це підготовка до DoS атаки?

Скоріше за все вас грабують/парсять :)
З динамічним IP

5

Re: Те що я спостерігаю в статистиці, це підготовка до DoS атаки?

VTrim написав:

Скоріше за все вас грабують/парсять :)
З динамічним IP

Ну якщо б це були, наприклад, ІР-адреси одного-двох провайдерів, то ще ладно. А так на стільки "динамічні ІР-адреси", що аж диву даєшся...

6

Re: Те що я спостерігаю в статистиці, це підготовка до DoS атаки?

Дійсно

Гео IP інформація
Код країни: RU
Регіон: Москва
Населений пункт: Москва
Географічні координати: Широта - 55.75222º Довгота - 37.61556º
Поштовий індекс: 117105
Часовий пояс: +04:00
Провайдер IP інформація
ОФ. назва провайдера в бд RIPE: Net By Net Holding LLC
Назва російською: ООО "Нэт Бай Нэт Холдинг"
Сайт провайдера: http://www.netbynet.ru/
Номер автономної системи провайдера: 12714
Числове значення (iptolong) першої IP адреси мережі провайдера: 1608253440
Числове значення (iptolong) останньої IP адреси мережі провайдера: 1608318975
Мережа провайдера: 95.220.0.0
Маска мережі провайдера: 16

Гео IP інформація
Код країни: RU
Регіон: Москва
Населений пункт: Москва
Географічні координати: Широта - 55.75222º Довгота - 37.61556º
Поштовий індекс: 115114
Часовий пояс: +04:00
Провайдер IP інформація
ОФ. назва провайдера в бд RIPE: OJSC "VimpelCom"
Назва російською: ОАО "ВымпелКом"
Сайт провайдера: http://www.beeline.ru/
Номер автономної системи провайдера: 8402
Числове значення (iptolong) першої IP адреси мережі провайдера: 2152266752
Числове значення (iptolong) останньої IP адреси мережі провайдера: 2152267007
Мережа провайдера: 128.72.252.0
Маска мережі провайдера: 24

Гео IP інформація
Код країни: RU
Регіон: Москва
Населений пункт: Москва
Географічні координати: Широта - 55.75222º Довгота - 37.61556º
Поштовий індекс: 117105
Часовий пояс: +04:00
Провайдер IP інформація
ОФ. назва провайдера в бд RIPE: National Cable Networks
Назва російською: ОАО "Национальные кабельные сети"
Сайт провайдера: http://ncnet.ru/
Номер автономної системи провайдера: 42610
Числове значення (iptolong) першої IP адреси мережі провайдера: 634126336
Числове значення (iptolong) останньої IP адреси мережі провайдера: 634191871
Мережа провайдера: 37.204.0.0
Маска мережі провайдера: 16

7

Re: Те що я спостерігаю в статистиці, це підготовка до DoS атаки?

Дуже схоже на спам бота

8

Re: Те що я спостерігаю в статистиці, це підготовка до DoS атаки?

А ще мій старий домен site-konstruktor.com.ua не полишають в спокої, ось приклад вибірки з ключовим словом admin. Вперто пробують пробитись в адмінку  =)

logsqlite

https://1933a544b9b651d3813e8de397efcd5a179e17e8.googledrive.com/host/0Bwk9euTxkxYUOFFUS29tSGJ4eXM/replace.org.ua/img/site-admin.png

9

Re: Те що я спостерігаю в статистиці, це підготовка до DoS атаки?

Але є XSS)

http://site-konstruktor.com.ua/%22%3E%3Cscript%3Ealert(%22VTrim%22)%3C/script%3E/

10

Re: Те що я спостерігаю в статистиці, це підготовка до DoS атаки?

VTrim написав:

Але є XSS)

http://site-konstruktor.com.ua/%22%3E%3Cscript%3Ealert(%22VTrim%22)%3C/script%3E/

Ні, те що ви спробували ввести повернулось вам назад, але не більше. В логах я бачу ось таке

IP: 37.73.250.215 URI: /%22%3E%3Cscript%3Ealert(%22VTrim%22)%3C/script%3E/

404 Сторінку "/"><script>alert("VTrim")</script>" не знайдено

in /classes/Kohana/Controller/Page.php:61

11

Re: Те що я спостерігаю в статистиці, це підготовка до DoS атаки?

ktretyak написав:
VTrim написав:

Але є XSS)

http://site-konstruktor.com.ua/%22%3E%3Cscript%3Ealert(%22VTrim%22)%3C/script%3E/

Ні, те що ви спробували ввести повернулось вам назад, але не більше. В логах я бачу ось таке

IP: 37.73.250.215 URI: /%22%3E%3Cscript%3Ealert(%22VTrim%22)%3C/script%3E/

404 Сторінку "/"><script>alert("VTrim")</script>" не знайдено

in /classes/Kohana/Controller/Page.php:61

Це тому,що в логах у вас стоїть фільтр,а тут ні. Це пасивна XSS,і атака відбудеться тоді,коли я дам комуь лінк на вставлений код.

Подякували: ktretyak, quez2

12 Востаннє редагувалося ktretyak (04.11.2014 10:35:55)

Re: Те що я спостерігаю в статистиці, це підготовка до DoS атаки?

VTrim, дякую. Матиму на увазі.

Оновлено: - виправив.

13 Востаннє редагувалося generation (04.11.2014 10:13:29)

Re: Те що я спостерігаю в статистиці, це підготовка до DoS атаки?

Можливо, школоло грається, начитаються на кулхацкерских проектах різних записів і "думають" що вони хацкери))) той хто хотів би - зламав або заддосив...

З.І. спражній хакер/крякер ддосить не буде, а буде шукати помилки в коді... Або як варіант твоє мило...