Спам атака на сайт на базе livestreet
Всем привет!
Очень нужна помощь сообщества. Практически на регулярной основе происходит спам атака на сайт на базе livestreet. Как бороться — не знаю, могу только после «драки» помахать руками и поудалять посты. Увеличение времени постинга между постами, удаление пользователей ни к чему хорошему не приводит.
Спам — пользователи продолжают безнаказанно лить сотнями лить посты. Маленькая тонкость — в логах post запросов нет.
Кто сталкивался и ка с этим бороться?
UPD:
Очень нужна помощь сообщества. Практически на регулярной основе происходит спам атака на сайт на базе livestreet. Как бороться — не знаю, могу только после «драки» помахать руками и поудалять посты. Увеличение времени постинга между постами, удаление пользователей ни к чему хорошему не приводит.
Спам — пользователи продолжают безнаказанно лить сотнями лить посты. Маленькая тонкость — в логах post запросов нет.
Кто сталкивался и ка с этим бороться?
UPD:
- Спам идет сразу с нескольких ip адресов, при бане одного ip(deny from xx.xx.xx.xx) тут же идет авторизация из под другого и продолжение атаки.
- Время между топиками($config['acl']['create']['topic']['limit_time']) стоит нормальное, но спамят из под нескольких пользователей и в «личные» блоги, поэтому — не спасает
- В связи с тем, что «поймал» момент непосредственного спама пока добавил правило:
Redirect seeother /topic/add http://ru.wikipedia.org/wiki/%D1%EF%E0%EC
, но безусловно это не выход. Просто проще заблокировать на время, чем потом удалять сотни топиков. - За время атаки было создано 1948 топиков
127 комментариев
В конфиге есть мин. рейтинг, интервалы между публикациями.
Можно, например, сделать простой плагин чтобы вырезались все ссылки с новых топиков у пользователей, дата регистрации которых меньше х дней и рейтинг ниже у.
кстати мой сайт на ls тож сегодня атакавали 100 спам топиками
А с этим разобрался очень просто у меня 2 пользователя за неделю добавили около 800 топиков, удалив пользователей через DB (базу данных) при этом почистились и топики и другие данные связанные с этими пользователями.
Но помните чистка всех связанных данных произойдёт если у Вас тип таблицы InnoDB
Юзерам должно быть максимально удобно, на мой взгляд… Но это лучше, чем ничего!
Добавил топик для обсуждения livestreet.ru/blog/15415.html
Делал:
1. Юзера в бан
2. Топики в «топку»
3. Персональные блоки отключить.
Больше попыток не было. Пока…
Удалила несколько сотен топиков от нескольких юзеров через админ-панель.
А тэги ненужные остались! Как удалить тэги пустые? Посоветуйте…
Попробуйте такой запрос.
По идеи должен выдать список тегов отсутствующих в топиках.
вот с тэгами вопрос открыт. Если удалять каждый топик, то проблем нет:
удаляешь топик — удаляются тэги. А если банишь пользователя и удаляешь его топики,
то пустые тэги висят и настроение портят)
Будем искать решение.
Спас положение только плагин модерации топиков от Germis . Он промодерировал более 100 топиков, которые я потом удалил. Ладно хоть никто их так и не увидел.
Я заметил что и на этом сайте в пятницу бушевали спамеры
И теперь меня очень интересует правило, которое позволит создавать только один топик за определенный промежуток времени. Есть такое?
А где это можно сделать?
— собрать все УРЛы с этого сайта
— стырить базу данных разработчиков (так как по умолчанию движок отправляет аналитику разработчикам).
Никого не хочу обвинить, просто хотелось бы намекнуть на вопрос безопасности. Не было ли взлома базы сайтов с LS?
Но это уже не важно, где взяли базу и т.п. Гораздо важнее эффективно защититься от этого.
Смысл в дополнительном скрытом поле, которое реальный человек не видит, и потому не заполняет.
Следовательно, если поле заполнено ботом, то публикация не проходит.
Добавить бы такое поле с условием в публикацию топика и коммента, беды бы не знали.
Причем, замануха заключается в том, что обманное поле имеет имя стандартной переменной, а реальное поле ввода меняется на любое другое.
Смысл спама пропадает, если к каждому сайту будут подбирать свое имя поля для публикации, как-то так.
Жаль, что я не разраб…
Через аналитику это нереально, так как нужно взломать ga.
Я, возможно зря намекал на безопасность, но береженного Бог бережет, убедиться в безопасности базы не мешало бы ;)
Насчет восстановить базы данных (сделать откат) я поняла.
По возможности будет сделано.
Мои действия:
1. Бан IP:109.195.3.186
2. Изменил интервал публикации топиков, поставил 10 минут, всё равно чаще нормальный человек постить не будет.
Капчу вводить не хочу, т.к. есть к примеру антигейт, который с этим справится на ура. Вопросы при регистрации тоже не помогут. Если спам будет продолжатся, буду думать над усовершенстованием защиты. И сразу отпишусь.
Временно поставил порог кармы для публикации.
Вопрос остается открытым...
PS еще долбили постоянно запросами в ссылку редактирования блока, пришлось блочить айпи через ipTables
У меня после сегодняшней атаки «вся» активность стала заканчиваться на голосовании за топик, если перейти на вкладку «я слежу» и в настройке событий отметить «голосование за топик» выводит «лента активности пуста»…
попрбую внедрить часть кода с лс 103 в 051 для решение проблемы.
Кстати посмотрите во что превратили сайт на LS seominds.ru/
iptables -A INPUT -s IPADDRESS -j DROP
где IPADDRESS заменяем на айпишник негодяя
Для удобного мониторинга логов apache/nginx могу посоветовать тулзу goaccess
В моем случае deny в конфиге nginx-а проблему не решал, не знаю почему. Запросы продолжали сыпаться.
Если знаете как протестить блокировку айпи в конфиге nginx — поделитесь.
location / { allow all; deny xx.xx.xx.xx; }Не спорю, скорее всего проблема было в прямоте рук, так что жду следующего «внимания» со стороны спамеров)
Попробовал проставить deny — до try_files, после, в отдельный локейшн /, в основной локейшн .php, результатов никаких.
Снова заюзал iptables.
Пойду настрою cloudflare :)
заблочил через
location ~ ^/edit/?$ { return 404; } location ~ ^/(?!ajax)(.+)/edit/?$ { return 404; }И как нагрузка, сильно уменьшилась?
Я просто не уверен, какую 404ю показывает nginx в таком случае, LS-овскую?
topic/edit/1149/
там id вставляется еще
До апача не доходит.
Без этого на каждый запрос форкался апач, и проц съедался очень быстро.
Так LA вернулось в норму
Таже история,25 новых спам-пользователей,1400 топиков.IP 109.195.3.186 забанил, но беда в том, что топики могу вычищать только в ручную, удаление новоявленых «пользователей» невозможно почему то, откат до 21.05 не помог, по тому что спам поыпался с 19.05
Не подскажите как удалить этих «пользователей»?
В логах метрики и аналитики нет ни одного захода на страницу регистрации, тем более добавления постов. А в логах на сервере есть. Значит, топики постились напрямик по УРЛ для отправки постов. Наводит на мысль, что бот — это не управляемый браузер, не понимает скриптов, стилей. Это скорее хорошо, т.к. он еще достаточно «глуп» и заточен исключительно под LS. Никто не пробовал менять название поля заголовка топика или добавлять скрытые поля на форму? У себя проверить не могу, пока что, пропал негодяй куда-то…
Перевел DNS на cloudflare (бесплатная услуга) и количество спама уменьшилось в разы.
Они обрезают спамеров исходя из своей базы. Плюс свои правила можно настроить.
И не надо никакие модули пилить и регистрации отключать. Рекомендую.
Примерно так это выглядит в админке.
А не поделитесь статистикой, как повлияло подключение клаудфлары на скорость загрузки сайта? Если используете их cdn и минимизацию.
Но даже при использовании CDN помимо ip самого cloudflare передаются и ip клиентов.
Предполагаю что можно настроить отдачу лога в виде понятном для анализаторов.
Бот пытается добавить пост http://****.ru/topic/add/
Запрос на добавление поста идет каждые пять секунд.
Включил форбидден по ip.
Часов через пять все прекратилось.