حمله IP های خارجی به سایت

[roosta.2010 0]

با سلام خدمت دوستان.
من با مشکل عجیبی روبرو شدم. ابتدا مشخصات سایت :
نوع: پایگاه خبری شهری در جنوب
جوملا 2.5
فالب رایگان shape 5
هاست اشتراکی سی پنل
سایت چند سالی هست که راه اندازی شده است و مشکل خاصی نبود تا اینکه از 3 ماه قبل با مشکل پهنای باند مواجهه شدیم.
در ابتدا IP هایی از اسرائیل پهنای باند سایت رو می خوردن.
یعنی یکدفعه می دیدی یک IP تا 40 گیگ رو یک روزه خورده. پهنای باند سایت خیلی زود تمام می شد.
برای رفع این مشکل با هاستینگ تماس گرفتیم و اونها گفتن که کدهای فایل  .htaccess مخرب هستند و باید جایگزین شوند. اونها کد جدید دادند که IP مزاحم را می بست. اما مشکل این بود که سئو سایت نابود شد و از صفحات اول نتایج گوگل حذف شد

کدها رو برگردوندم و به جای آن افزونه امنیتی rsfirewall  رو خریداری و نصب کردم و آی پی های اسراعیل رو بستم.
اوضاع خوب بود تا اینکه توی ماه گذشته کشورهای فرانسه، ژاپن، سوئد،ترکیه و چند کشور دیگه پهنای باند زیادی مصرف کردن یعنی از هر کشور چند آی پی دارن یکسره پهنای باند رو می خورد مثلا یک آی پی از فرانسه به تنهایی در یک روز 45 گیگ رو یک روزه مصرف کرد.
توی این مدت مجبور شدیم نزدیک 6 بار پلن هاستمون رو ارتقا بدیم تا سایت سرپا بمونه.

آخرش مجبور شدیم دوباره با هاستینگ تماس بگیریم. این بار یک فایل .htaccess بهمون داد که همه آی پی ها رو به غیر از ایران بسته بود.
اما باز هم از نتایج گوگل حذف شدیم و رفتیم صفحات 3 و 4 در حالی که همیشه اول بودیم.

احتمال جمله DDoss می دادم اما هاستینگ گفت آنتی دیداس رو سرور نصب هست.
از طرفی هاستینگ می گه مشکل از جوملا و افزونه های خودتونه. موندم آخه اگه مشکل از جوملا بود پس چرا قبلا نبوده.
حالا به نظر شما چیکار کنم؟
اگر آی پی ها رو نبندم سایت یک روزه پهنای باندش تموم میشه!
اگر هم مثل الان آی پی های کشورهای دیگه رو توی فایل .htaccess ببندم از گوگل حذف می شیم.
از طرفی سایت ما خبریه و دوست داریم از سایر کشورها هم بازدید داشته باشیم.
لطفا راهنمایی بفرمایید.
ممنون

[gavad700 8]

با سلام خدمت دوستان.

من با مشکل عجیبی روبرو شدم. ابتدا مشخصات سایت :

نوع: پایگاه خبری شهری در جنوب

جوملا 2.5

فالب رایگان shape 5

هاست اشتراکی سی پنل

سایت چند سالی هست که راه اندازی شده است و مشکل خاصی نبود تا اینکه از 3 ماه قبل با مشکل پهنای باند مواجهه شدیم.

در ابتدا IP هایی از اسرائیل پهنای باند سایت رو می خوردن.

یعنی یکدفعه می دیدی یک IP تا 40 گیگ رو یک روزه خورده. پهنای باند سایت خیلی زود تمام می شد.

برای رفع این مشکل با هاستینگ تماس گرفتیم و اونها گفتن که کدهای فایل  .htaccess مخرب هستند و باید جایگزین شوند. اونها کد جدید دادند که IP مزاحم را می بست. اما مشکل این بود که سئو سایت نابود شد و از صفحات اول نتایج گوگل حذف شد

کدها رو برگردوندم و به جای آن افزونه امنیتی rsfirewall  رو خریداری و نصب کردم و آی پی های اسراعیل رو بستم.

اوضاع خوب بود تا اینکه توی ماه گذشته کشورهای فرانسه، ژاپن، سوئد،ترکیه و چند کشور دیگه پهنای باند زیادی مصرف کردن یعنی از هر کشور چند آی پی دارن یکسره پهنای باند رو می خورد مثلا یک آی پی از فرانسه به تنهایی در یک روز 45 گیگ رو یک روزه مصرف کرد.

توی این مدت مجبور شدیم نزدیک 6 بار پلن هاستمون رو ارتقا بدیم تا سایت سرپا بمونه.

آخرش مجبور شدیم دوباره با هاستینگ تماس بگیریم. این بار یک فایل .htaccess بهمون داد که همه آی پی ها رو به غیر از ایران بسته بود.

اما باز هم از نتایج گوگل حذف شدیم و رفتیم صفحات 3 و 4 در حالی که همیشه اول بودیم.

احتمال جمله DDoss می دادم اما هاستینگ گفت آنتی دیداس رو سرور نصب هست.

از طرفی هاستینگ می گه مشکل از جوملا و افزونه های خودتونه. موندم آخه اگه مشکل از جوملا بود پس چرا قبلا نبوده.

حالا به نظر شما چیکار کنم؟

اگر آی پی ها رو نبندم سایت یک روزه پهنای باندش تموم میشه!

اگر هم مثل الان آی پی های کشورهای دیگه رو توی فایل .htaccess ببندم از گوگل حذف می شیم.

از طرفی سایت ما خبریه و دوست داریم از سایر کشورها هم بازدید داشته باشیم.

لطفا راهنمایی بفرمایید.

ممنون

درود

 

بزرگوار شما فرمودید قبلا این مشکل را نداشتید ، چندین مورد داشتیم که دلیل افزونه ها و یا پلاگین های نال شده استفاده شده از سوی کاربر دلیل این مشکل بوده جز یک مورد که خود کاربر توی این سایت هایی که بازدید کننده میفرستن سمت شما !   در صورتی که آی پی ها دائما تغییر میکنند شک نکنید که مشکل از سمت سیستم شماست از سرویس دهنده بخواهید Mode Security را بر روی سرویس شما فعال کند ، ضمنا یکبار هاست خود را با آنتی ویروس Clam Av موجود در Cpanel که معمولا بر روی تمامی هاستینگ ها نصب می باشد اسکن نمائید

[roosta.2010 0]

با سلام دوباره خدمت دوستان.
ببخشید دیر شد. میخواستم گزارشی مبسوط و روشن ارائه کنم. من یک بررسی کلی در چند ماه گذشته انجام دادم که به شرح زیره :
حجم تصاویر رو پایین آوردم که راحت تر نمایش داده بشه پس اگر کیفیت نداشتند ببخشید.


1. 5 ماه قبل - ماه Mar

http://bayanbox.ir/view/6837249649605841680/mar-01.jpg

همانطور که می بینید همه چیز در این ماه عادی است.

------------------------------------------------------------------------------------------------------

2. 4 ماه قبل - ماه Apr

http://bayanbox.ir/view/510718295122512245/apr-01.jpg

همانطور که در تصویر بالا مشخص است میزان مصرف افرادی که به سایت مراجعه کردند عادی است اما Not viewed traffic یک باره به 40 گیگ افزایش یافته است که با توجه به تصویر زیر

http://bayanbox.ir/view/3937084672839295793/apr-02.jpg

در آمار ربات ها، در قسمت اول به 37 گیگ و قسمت دوم 1 گیگ افزایش یافته است که نمی دانم کدام ربات ها هستند.

-------------------------------------------------------------------------------------------

3. سه و دو ماه قبل - ماه May و Jun
توی این دو ماه هم اوضاع شبیه ماه Apr بود یعنی
Viewed traffic  7 gig
Not viewed traffic 60 gig

توی این دو ماه فعالیت Robots/Spiders افزایش یافته است و به اندازه Not viewed traffic می باشد
که تقریبا همه آن به قسمت اول ربات ها یعنی Unknown robot (identified by empty user agent string) برمی گردد (مانند تصویر بالا)

--------------------------------------------------------------------------------------------------------

4. ماه قبل - ماه Jul
این ماه اولین ماه مشکل ساز ما بود. IP هایی از اسرائیل به سایت سرازیر شدند.
در ابتدا تصویر خلاصه مصرف:

http://bayanbox.ir/view/3719915412832444141/jul.jpg

همانطور که می بینید یک باره هر دو قسمت به صورت چشم گیری افزایش یافته است.
حال مصرف کشورها:

http://bayanbox.ir/view/2742173930480313478/jul-02-cun.jpg

همانطور که پیداست اسرائیل و فرانسه و برزیل بیشترین پهنای باند رو مصرف کردند.
به طور مثال آی پی 84.94.195.115 از اسرائیل 59.63 گیگ به تنهایی مصرف کرده است.

جالب این است با اینکه Not viewed traffic 200 گیگ شده است اما در قسمت ربات ها اگر همه آنها را جمع کنیم به 60 گیگ نمی رسد.

نکته جالب دیگر در تصویر زیر :

http://bayanbox.ir/view/5248640986155590061/jul-03-type.jpg

با توجه به این که در ماه های گذشته بیشترین پهنای باند با 6 گیگ(تقریبا) به عکس ها مربوط می شد اما این ماه Html رکورد عجیبی با 140 گیگ زده است.

اما برویم سر اصل مطلب. من با بررسی آمارها متوجه یک سری پوشه و فایل مشکوک شدم. تصویر زیر:

http://bayanbox.ir/view/6145746478164308323/jul-04-url.jpg

در تصویر بالا آدرس هایی که بیشترین مصرف را داشته اند رو می بینید که مشکوک ها رو بررسی می کنم:
الف ) /media/foundry/js/css/
پوشه foundry در جوملا خام وجود ندارد. حتی توی سایت دوستم هم چک کردم چنین پوشه ای نبود. توی مدیریت افزونه ها هم سرچ کردم چنین افزونه ای نبود. تاریخ ایجادش 28 Jan 2013

محتویات ای پوشه foundry :
foundry.php تاریخ ایجاد 28 Jun 2013
پوشه Js تاریخ ایجاد 1 Jul 2015 (یعنی ساخت همین ماه است که مشکل شروع شده است)

محتویات پوشه /foundry/js :

http://bayanbox.ir/view/7280943055699636663/jul-05-js.jpg

محتویات پوشه /foundry/js/css/ :

http://bayanbox.ir/view/9216298140823374902/jul-05-css.jpg

----------------------
ب ) /libraries/cms/lib/
پوشه lib در جوملا خام وجود ندارد.
تاریخ ایجادش 29 Jul 2015


http://bayanbox.ir/view/1775434286103210179/jul-0-lib.jpg
که تاریخ ایجادشون همه همون 29 هست

-------------------------------------------------------------------------------------------------------

5. ماه جاری - ماه Aug

در اواخر ماه قبل آی پی های اسرائیل بسته شد اما کشورهای دیگر سرازیر شدند.
فرانسه 109 گیگ ، کانادا 37 گیگ ، ژاپن 31 گیگ و ...

توی این ماه:
Viewed traffic       300 گیگ
Not viewed traffic         131 گیگ

Robots/Spiders visitors            سرجمع 8 گیگ

پهنای باند استفاده شده فایل ها مانند ماه قبله:
html           298 گیگ یعنی 99 درصد از همه فایل ها

اما قسمت آدرس های پرحجم:
http://bayanbox.ir/view/4188470721266944362/aug-01-url.jpg
http://bayanbox.ir/view/4188470721266944362/aug-01-url.jpg

آدرس های دوم و سوم را بررسی کردیم. اما آدرس اولی: /media/cms/css/jquery/debrid/
پوشه jquery در جوملا خام وجود ندارد.
تاریخ ایجاد 4 Aug (4 روز پبش)

پوشه debrid هم تاریخ ایجادش همون 4 روز پیش هست که محتویاتش به صورت زیره :
http://bayanbox.ir/view/8693331406154906320/aug-02-deb.jpg
http://bayanbox.ir/view/8693331406154906320/aug-02-deb.jpg

در حال حاضر هم برای رفع مشکل همه آی پی ها رو به جز ایران بسته ایم مصرف پهنای باند خوب شده است اما توی گوگل نابود شدیم.
----------------------------------------------------------------------------------------------------
با این اوصاف چه کاری می توانم بکنم؟
آیا فایل های ذکر شده رو پاک کنم؟
راه حل شما چیه؟
سعی کردم گزارشم جامع باشه اگه اطلاعات دیگه خواستید بگید تا پس از بررسی بذارمش.
لطفا اگر امانش هست سریع جواب بدین چون هر روز که بگذره مخاطبانمون رو داریم از دست می دیم(به خاطر گوگل)
ممنون از حوصله و صبر شما
-----------------
متاسفانه عکس ها نمایش داده نمی شود. لطفا راهنمایی کنین چه جوری اونا رو درج کنم.
من ابتدا توی یه سایت دیگه آپلود کردم بعدش با تگ ایمیج درجشون کردم.

ویرایش شده مرداد 94 توسط roosta.2010

[gavad700 8]

 

با سلام دوباره خدمت دوستان.

ببخشید دیر شد. میخواستم گزارشی مبسوط و روشن ارائه کنم. من یک بررسی کلی در چند ماه گذشته انجام دادم که به شرح زیره :

حجم تصاویر رو پایین آوردم که راحت تر نمایش داده بشه پس اگر کیفیت نداشتند ببخشید.

1. 5 ماه قبل - ماه Mar

http://bayanbox.ir/view/6837249649605841680/mar-01.jpg

همانطور که می بینید همه چیز در این ماه عادی است.

------------------------------------------------------------------------------------------------------

2. 4 ماه قبل - ماه Apr

http://bayanbox.ir/view/510718295122512245/apr-01.jpg

همانطور که در تصویر بالا مشخص است میزان مصرف افرادی که به سایت مراجعه کردند عادی است اما Not viewed traffic یک باره به 40 گیگ افزایش یافته است که با توجه به تصویر زیر

http://bayanbox.ir/view/3937084672839295793/apr-02.jpg

در آمار ربات ها، در قسمت اول به 37 گیگ و قسمت دوم 1 گیگ افزایش یافته است که نمی دانم کدام ربات ها هستند.

-------------------------------------------------------------------------------------------

3. سه و دو ماه قبل - ماه May و Jun

توی این دو ماه هم اوضاع شبیه ماه Apr بود یعنی

Viewed traffic  7 gig

Not viewed traffic 60 gig

توی این دو ماه فعالیت Robots/Spiders افزایش یافته است و به اندازه Not viewed traffic می باشد

که تقریبا همه آن به قسمت اول ربات ها یعنی Unknown robot (identified by empty user agent string) برمی گردد (مانند تصویر بالا)

--------------------------------------------------------------------------------------------------------

4. ماه قبل - ماه Jul

این ماه اولین ماه مشکل ساز ما بود. IP هایی از اسرائیل به سایت سرازیر شدند.

در ابتدا تصویر خلاصه مصرف:

http://bayanbox.ir/view/3719915412832444141/jul.jpg

همانطور که می بینید یک باره هر دو قسمت به صورت چشم گیری افزایش یافته است.

حال مصرف کشورها:

http://bayanbox.ir/view/2742173930480313478/jul-02-cun.jpg

همانطور که پیداست اسرائیل و فرانسه و برزیل بیشترین پهنای باند رو مصرف کردند.

به طور مثال آی پی 84.94.195.115 از اسرائیل 59.63 گیگ به تنهایی مصرف کرده است.

جالب این است با اینکه Not viewed traffic 200 گیگ شده است اما در قسمت ربات ها اگر همه آنها را جمع کنیم به 60 گیگ نمی رسد.

نکته جالب دیگر در تصویر زیر :

http://bayanbox.ir/view/5248640986155590061/jul-03-type.jpg

با توجه به این که در ماه های گذشته بیشترین پهنای باند با 6 گیگ(تقریبا) به عکس ها مربوط می شد اما این ماه Html رکورد عجیبی با 140 گیگ زده است.

اما برویم سر اصل مطلب. من با بررسی آمارها متوجه یک سری پوشه و فایل مشکوک شدم. تصویر زیر:

http://bayanbox.ir/view/6145746478164308323/jul-04-url.jpg

در تصویر بالا آدرس هایی که بیشترین مصرف را داشته اند رو می بینید که مشکوک ها رو بررسی می کنم:

الف ) /media/foundry/js/css/

پوشه foundry در جوملا خام وجود ندارد. حتی توی سایت دوستم هم چک کردم چنین پوشه ای نبود. توی مدیریت افزونه ها هم سرچ کردم چنین افزونه ای نبود. تاریخ ایجادش 28 Jan 2013

محتویات ای پوشه foundry :

foundry.php تاریخ ایجاد 28 Jun 2013

پوشه Js تاریخ ایجاد 1 Jul 2015 (یعنی ساخت همین ماه است که مشکل شروع شده است)

محتویات پوشه /foundry/js :

http://bayanbox.ir/view/7280943055699636663/jul-05-js.jpg

محتویات پوشه /foundry/js/css/ :

http://bayanbox.ir/view/9216298140823374902/jul-05-css.jpg

----------------------

ب ) /libraries/cms/lib/

پوشه lib در جوملا خام وجود ندارد.

تاریخ ایجادش 29 Jul 2015

http://bayanbox.ir/view/1775434286103210179/jul-0-lib.jpg

که تاریخ ایجادشون همه همون 29 هست

-------------------------------------------------------------------------------------------------------

5. ماه جاری - ماه Aug

در اواخر ماه قبل آی پی های اسرائیل بسته شد اما کشورهای دیگر سرازیر شدند.

فرانسه 109 گیگ ، کانادا 37 گیگ ، ژاپن 31 گیگ و ...

توی این ماه:

Viewed traffic       300 گیگ

Not viewed traffic         131 گیگ

Robots/Spiders visitors            سرجمع 8 گیگ

پهنای باند استفاده شده فایل ها مانند ماه قبله:

html           298 گیگ یعنی 99 درصد از همه فایل ها

اما قسمت آدرس های پرحجم:

http://bayanbox.ir/view/4188470721266944362/aug-01-url.jpg

http://bayanbox.ir/view/4188470721266944362/aug-01-url.jpg

آدرس های دوم و سوم را بررسی کردیم. اما آدرس اولی: /media/cms/css/jquery/debrid/

پوشه jquery در جوملا خام وجود ندارد.

تاریخ ایجاد 4 Aug (4 روز پبش)

پوشه debrid هم تاریخ ایجادش همون 4 روز پیش هست که محتویاتش به صورت زیره :

http://bayanbox.ir/view/8693331406154906320/aug-02-deb.jpg

http://bayanbox.ir/view/8693331406154906320/aug-02-deb.jpg

در حال حاضر هم برای رفع مشکل همه آی پی ها رو به جز ایران بسته ایم مصرف پهنای باند خوب شده است اما توی گوگل نابود شدیم.

----------------------------------------------------------------------------------------------------

با این اوصاف چه کاری می توانم بکنم؟

آیا فایل های ذکر شده رو پاک کنم؟

راه حل شما چیه؟

سعی کردم گزارشم جامع باشه اگه اطلاعات دیگه خواستید بگید تا پس از بررسی بذارمش.

لطفا اگر امانش هست سریع جواب بدین چون هر روز که بگذره مخاطبانمون رو داریم از دست می دیم(به خاطر گوگل)

ممنون از حوصله و صبر شما

-----------------

متاسفانه عکس ها نمایش داده نمی شود. لطفا راهنمایی کنین چه جوری اونا رو درج کنم.

من ابتدا توی یه سایت دیگه آپلود کردم بعدش با تگ ایمیج درجشون کردم.

 

درود

 

بزرگوار مواردی که توی اولین پست گفتم صورت گرفت ؟

 

به احتمال 90% مشکل از سمت خود شماست