Форум
Та же самая история с 20 ноября началось, хостер уже блокировал доступ к сайту. Cloudflare в бесплатной версии и режиме Under attack в принципе помогает, но пользователи остаются на уровне 10-30. Как решение предлагают заблокировать в nginx’e все эти goto, но таймвэб на это не идет, т.к. могут пострадать другие пользователи
Точно такая же проблема. Удалили модуль рекламный, ибо не использовался, создал руками файл rk.php без подключения ядра, шапок и тд, чтобы снизить нагрузку, ибо отдавалась 404я сайта, а это доп. запросы и доп. нагрузка.
В идеале сделать в скрипте небольшой обработчик, который будет добавлять айпишник в стоп-лист, лучше наверное на стороне htaccess, так как Битрикс много запросов при хите делает. Так же заметил, что идёт атака с разных айпишников, почти не повторяются записи, поэтому контроль активности не поможет.
то можно их отсечь на стороне вебсервера с помощью rewrite.
Тогда запросы не то что до mysql, даже до битрикса доходить не будут.
В крайнем случае можно заблокировать доступ к странице redirect.php
Аналогичная ситуация и тоже на TimeWeb. Также все началось c 20 ноября. Не знал о происходящем на хостинге до сегодняшнего дня, пока хостер не отключил сайты. Сообщения об увеличении нагрузки на сервер видимо приходили на другую почту.
Эти спамеры уже в край обнаглели. Заносить ip в стоп-лист не поможет, так как эти ссылки размещаются спамерами на миллионах досках объявлений и бесплатных каталогах. Естественно переход по ссылкам будет всегда с разных ip. Защита редиректов включена, но это не помогает от нагрузки на БД. Переход по ссылкам идет каждые 2-3 секунды судя по access_log.
Решил проблему кардинально:
добавил следующие строки в файл .htaccess, который находится в корневой директории сайта
Order Allow,Deny Deny from all
Аналогичная проблема, Русоникс
Проактивная защита на Максимум закручена, а в журнале 100500+ записей на попытку фишинга.
5 запросов в минуту с разного набора IP адресов, которые блокировать не имеет смысла, идет к /bitrix/redirect.php
Решил проблему кардинально:
добавил следующие строки в файл .htaccess, который находится в корневой директории сайта
Order Allow,Deny Deny from all
Решил проблему кардинально:
добавил следующие строки в файл .htaccess, который находится в корневой директории сайта
< FilesMatch "( rk | redirect ) . ( php )$">Order Allow,Deny Deny from all
Решил проблему кардинально:
добавил следующие строки в файл .htaccess, который находится в корневой директории сайта
< FilesMatch "( rk | redirect ) . ( php )$">Order Allow,Deny Deny from all
Проверьте, если у вас в URL присутствуют php-файлы с упоминаниями rk | redirect или у вас на сайте используются баннерное размещение через БУС(там используется rk.php), cледовательно у вас будет отдаваться 403 Forbidden
| Цитата |
|---|
| Проверьте, если у вас в URL присутствуют php-файлы с упоминаниями rk | redirect или у вас на сайте используются баннерное размещение через БУС(там используется rk.php), cледовательно у вас будет отдаваться 403 Forbidden |
лично я из двух баннеров на главной оставил один и убрал с картинки ссылку, поэтому при клике не возвращается 403 Forbidden. Можно также убрать статистику и клики в параметрах баннера.
Order Allow,Deny Deny from all
Баннеры это пол беды. У меня фильтр товаров работает через редирект. Что с этим делать пока не знаю.
Постоянные запросы идут такого вида:
/bitrix/rk.php?goto=https://сайт /bitrix/redirect.php?event1&event2&event3&goto=http://сайт
Тут нужна заплатка на редирект от черезмерной нагрузки на БД, иначе часть функционала сайта работать не будет.
Странно что разработчики молчат. Проблема носит явно массовый характер.
Центр поддержки
Продукты
Управление сайтом
Битрикс24
Интернет-магазин + CRM
Решения
Для интернет-магазинов
Каталог готовых решений
Внедрение
Выбрать партнера
Проверить партнера
Стать партнером
1С-Битрикс http://www.1c-bitrix.ru Общие вопросы info@1c-bitrix.ru Приобретение и лицензирование продуктов : sales@1c-bitrix.ru Маркетинг/мероприятия/PR marketing@1c-bitrix.ru Партнерская программа partners@1c-bitrix.ru Мы работаем с 10:00 до 19:00 по московскому времени. Офис в Москве 127287 Россия Московская область Москва 2-я Хуторская улица дом 38А строение 9 Офис в Калининграде +7 (4012) 51-05-64 Офис в Калининграде 236001 Россия Калининградская область Калининград Московский проспект 261 Офис в Киеве ukraine@1c-bitrix.ru Телефон в Киеве +3 (8044)221-55-33 Офис в Киеве 01033 Украина Калининградская область Киев улица Шота Руставели 39/41 офис 1507
© 2001-2023 «Битрикс», «1С-Битрикс». Работает на 1С-Битрикс: Управление сайтом. Политика конфиденциальности
Попытка фишинга через редирект
В последнее время на хостинге нагрузка на MySQL стала столь значительной, что хостер прислал уведомление. Я начал разбираться в чём дело, и понял, что мой сайт совсем не защищён от различного рода атак, которые, кроме всего прочего, создают дополнительную нагрузку на БД. Выставив настройки таким образом, чтобы атаки отбивались, в Журнале вторжений я всё равно вижу очень много «Попытка фишинга через редирект».
Я занёс около 100 ip адресов в [стоп-лист] , но что-то это не очень помогает. И, вообще, не опасно ли заносить эти ip-адреса в стоп-лист? Или все ip с пометкой «Попытка фишинга через редирект» — спамные?
1С-Битрикс: Управление сайтом 17.0.15
На каком-то левом сайте в комментах обнаружил ссылку на свой сайт вида:
http://site.ru/bitrix/rk.php?goto=http://site.com/
В последнее время на этом форуме вообще никто мне не отвечает, несмотря на то, что вопросы довольно обычные
В последнее время на хостинге нагрузка на MySQL стала столь значительной, что хостер прислал уведомление. Я начал разбираться в чём дело, и понял, что мой сайт совсем не защищён от различного рода атак, которые, кроме всего прочего, создают дополнительную нагрузку на БД. Выставив настройки таким образом, чтобы атаки отбивались, в Журнале вторжений я всё равно вижу очень много «Попытка фишинга через редирект».
Я занёс около 100 ip адресов в [стоп-лист] , но что-то это не очень помогает. И, вообще, не опасно ли заносить эти ip-адреса в стоп-лист? Или все ip с пометкой «Попытка фишинга через редирект» — спамные?
Александр , рассказываю всё по порядку.
1. Сканер безопасности
Я удалил/отредактировал уязвимые файлы темы. Сейчас ситуация такая — см. скриншот. Не думаю, что что-то из этого может быть причиной того, что с тысяч ip-адресов каждые 2-3 секунды осуществляются переходы на мой сайт вида: https://site.ru/bitrix/redirect.php?event1=&event2=&event3=&goto=http://blablasite.ru
2. Панель безопасности
Она у меня давно не работает — пустая страница. Но, думаю, там просто сводка по настройкам и какая-нибудь общая информация, поэтому данный пункт пропускаем.
3. Проактивный фильтр — включён.
Галочку «Добавить IP-адрес атакующего в стоп-лист» я вчера снял, но сегодня опять поставил. Смысла в ней почти нет. Если её установить, то раз в час в стоп-лист будут попадать ip-адерса Яндекс/Гугла. В то время как атакующие ip-адреса туда не попадают вообще
4. Веб-антивирус — включён.
5. Журнал вторжений.
Как я и писал, он весь забит событиями «Попытка фишинга через редирект»:
9. Защита сессий
Данные сессий не хранятся в БД модуля безопасности. Смена идентификатора сессий выключена.
10. Защита редиректов — включена.
11. Стоп-лист.
В него я сам добавил часть ip-адерсов.
12. Хосты/домены
Единственное, что помогло хоть чуть чуть (~15%) снизить нагрузку на MySQL, это сидеть в Журнале вторжений и вручную часами добавлять атакующие ip-адреса в стоп-лист, который кстати говоря, находится в разделе Аналитика. Т.е. стоп-листа существует два, если что.
Форум
В последнее время на хостинге нагрузка на MySQL стала столь значительной, что хостер прислал уведомление. Я начал разбираться в чём дело, и понял, что мой сайт совсем не защищён от различного рода атак, которые, кроме всего прочего, создают дополнительную нагрузку на БД. Выставив настройки таким образом, чтобы атаки отбивались, в Журнале вторжений я всё равно вижу очень много «Попытка фишинга через редирект».
Я занёс около 100 ip адресов в [стоп-лист] , но что-то это не очень помогает. И, вообще, не опасно ли заносить эти ip-адреса в стоп-лист? Или все ip с пометкой «Попытка фишинга через редирект» — спамные?
1С-Битрикс: Управление сайтом 17.0.15
На каком-то левом сайте в комментах обнаружил ссылку на свой сайт вида:
http://site.ru/bitrix/rk.php?goto=http://site.com/
В последнее время на этом форуме вообще никто мне не отвечает, несмотря на то, что вопросы довольно обычные
В последнее время на хостинге нагрузка на MySQL стала столь значительной, что хостер прислал уведомление. Я начал разбираться в чём дело, и понял, что мой сайт совсем не защищён от различного рода атак, которые, кроме всего прочего, создают дополнительную нагрузку на БД. Выставив настройки таким образом, чтобы атаки отбивались, в Журнале вторжений я всё равно вижу очень много «Попытка фишинга через редирект».
Я занёс около 100 ip адресов в [стоп-лист] , но что-то это не очень помогает. И, вообще, не опасно ли заносить эти ip-адреса в стоп-лист? Или все ip с пометкой «Попытка фишинга через редирект» — спамные?
Александр , рассказываю всё по порядку.
1. Сканер безопасности
Я удалил/отредактировал уязвимые файлы темы. Сейчас ситуация такая — см. скриншот. Не думаю, что что-то из этого может быть причиной того, что с тысяч ip-адресов каждые 2-3 секунды осуществляются переходы на мой сайт вида: https://site.ru/bitrix/redirect.php?event1=&event2=&event3=&goto=http://blablasite.ru
2. Панель безопасности
Она у меня давно не работает — пустая страница. Но, думаю, там просто сводка по настройкам и какая-нибудь общая информация, поэтому данный пункт пропускаем.
3. Проактивный фильтр — включён.
Галочку «Добавить IP-адрес атакующего в стоп-лист» я вчера снял, но сегодня опять поставил. Смысла в ней почти нет. Если её установить, то раз в час в стоп-лист будут попадать ip-адерса Яндекс/Гугла. В то время как атакующие ip-адреса туда не попадают вообще
4. Веб-антивирус — включён.
5. Журнал вторжений.
Как я и писал, он весь забит событиями «Попытка фишинга через редирект»:
9. Защита сессий
Данные сессий не хранятся в БД модуля безопасности. Смена идентификатора сессий выключена.
10. Защита редиректов — включена.
11. Стоп-лист.
В него я сам добавил часть ip-адерсов.
12. Хосты/домены
Единственное, что помогло хоть чуть чуть (~15%) снизить нагрузку на MySQL, это сидеть в Журнале вторжений и вручную часами добавлять атакующие ip-адреса в стоп-лист, который кстати говоря, находится в разделе Аналитика. Т.е. стоп-листа существует два, если что.