Что делать, если Ваши сайты атакуют…
Не думал никогда, что мои проекты когда-нибудь заинтересуют преступный элемент :). Но так уж вышло, что неделю назад один из моих сайтов подвергся DDOS-атаке.
Почему выбрали именно тот сайт – непонятно. Ничего особенного на нем не было – обычный архив авторских статей. Посещалка небольшая – 500-800 уников в сутки. Да, приносил хорошую копеечку на адсенсе, но не так уж и много, в принципе. В общем, мотивы злоумышленников мне непонятны.
А вот умышленное ими зло причинило мне немалый ущерб – и финансовый, и моральный. С финансовым все ясно – сайт не работает, на рекламу никто не кликает. Ну и с моральным все то же более менее понятно – неприятно, черт подери…
Началось все с того, что горячо нелюбимый мной хостер Агава вдруг ни с того, ни с сего в очередной раз отключил все сайты, которые висят на аккаунте. Якобы за чрезмерную нагрузку. Ну и отправил мне соответствующее письмо на ящик.
Злой звоню в саппорт агавы (в этот раз на бесплатный номер :)) и выясняется, что мои сайты кто-то атакует. Наученный горьким опытом, уточняю, точно ли все сайты под атакой. Меня просят подождать минутку.
Ага, как бы не так… :) Через 10 минут человек на том конце провода заявляет, что атакуют один сайт. Остальные “вроде” нет. После моего вопроса: “Так какого хрена Вы заблокировали ВСЕ сайты?”, первую часть проблемы удалось решить – остальные ресурсы разблокировали.
Надо было что-то делать дальше… Тут ко мне в аську как раз постучался какой-то человек и заявил, что атакует именно он. “XX$ и снимаем атаку, вы больше нас не увидите и не услышите”. Ага, нашли дурачка :). Если заплатишь им деньги, то покажешь себя “дойной коровой”, которая будет отправлять по XX$ каждый раз, когда господам хакерам захочется… НеИнтеллигентно человека послал и стал думать дальше.
Зарегал быстренько хостинг у sweb, чтобы перенести атакуемый домен на другой аккаунт и оставить его там, обезопасив другие ресурсы и сервак агавы. Перепрописал NS, сайт проработал минут 10, после чего его отрубили уже swebовцы. Постучался в LIVE-чат и понял, что атака продолжается. Попросил вести лог атаки (на всякий случай) и как только атака завершится разблокировать домен.
Дальше стал искать антиDDOS хостинг и спецов в данной теме. Просмотрел кучу предложений, но цены у всех просто неподъемные – смысл мне платить 150$ в месяц за защиту сайта, если он столько не приносит? :))
Короче, после совещаний с коллегами, было принято решение – ЖДАТЬ. Мы решили, что если не заплатить деньги, атакующие поймут – здесь ловить нечего и переключат атаку на другой сайт (уже не мой :)). Вечно натравливать часть своей сетки “ботов” на один ресурс, который ничего не платит, невыгодно им совсем.
В общем, сработало… От сайта вроде бы отстали. По крайней мере сейчас я перенес его уже на другой хостинг и все работает более-менее стабильно. А атака может быть завершилась еще раньше, но sweb проигнорировал мою просьбу сразу после завершения атаки включить сайт. Очухались они только после моего письма, ответ на которое я ждал полтора дня и за это время успел перенести сайт.
Такая вот сумбурная история из реальной жизни. True. Искренне желаю Вам не попадать в подобные переделки!
Поддержка
Партнерская программа для сайта LeadPartners.biz платит за регистрации. Принимает любой развлекательный трафик. Цена за регистрацию – до 20 рублей. Делайте деньги!
Собрался делать ремонт? Строительные работы в Казани – быстро и качественно!
гггг, мои сайты еще никто вроде не атаковал)
06.11.2009 в 15:58Или хостинг может у меня норм, хз)
А вообще по теме, ты правильно сделал, нужно просто ждать, им ведь тоже не выгодно постоянно ддосить твой сайт, если он не приносит никакой прибыли.
Блог что ли ддосят? не мог зайти минут 20.
06.11.2009 в 17:41Мне раз 5 уже ддосили разные сайты. Причём 2 раза просто так. Непонятно, конкурентные запросы не занимал :)
Хорошо, что история закончилась благополучно. Заодно и от Агавы свалили подальше.
И правильное решение приняли, просто подождать, это уберегло от возможности стать дойной коровой. Поучительная история.
06.11.2009 в 20:19От такой напасти можно посоветовать только одно средство.
07.11.2009 в 00:34На подобных сайтах (MFA или MFS) не оставлять никаких контактных данных.
Если хацкеры не будут знать, как связаться с владельцем сайта, то не будет смысла атаковать сайт.
Владимир, если они захотят связаться с тобой, они это сделают, поверь.
07.11.2009 в 13:08Интересная и довольно поучительная история. Агава, конечно, молодцы весь аккаунт отключили. До этого я о Агаве только положительные отзывы слышал :)
07.11.2009 в 14:31Отличный пост, еще раз подтверждающий, что надо “яйца отдельно, гвозди отдельно”, (не держать все в одном месте), чтоб была возможность относительно спокойно пережидать атаки…
07.11.2009 в 18:11Кстати, не прозвучало, сколько эта катавасия длилась? Хорошо бы иметь ввиду…
07.11.2009 в 18:13а у вас есть какие-то советы по поводу защиты своего информационного имущества?
07.11.2009 в 22:49Ну хостер тоже не очень нормально поступил – отключить весь акк, когда ддосят только один сайт это жестоко! :(
Но в такие моменты и проявляется отношение в клиентам!
08.11.2009 в 16:51Да поступил правильно. Хостинг поменял молоток. Можно еще было защиту поставить.
08.11.2009 в 22:00Устроив пару показательных казней для таких вот атакующих, можно обезопасить свой проект от нападок школоты.
08.11.2009 в 23:05Свой сервак + сисадмин решат проблему ;)
09.11.2009 в 14:01Жека, это роскошь для нишевых проектов, которые приносят не так уж и много.
09.11.2009 в 16:49ну вообще ддос атаки любят русские хакеры. а вот как сысадмин решит проблему, тут я не понял, товарищ Жека.
10.11.2009 в 13:04Еще бы распознать эту самую атаку… а что так часто ломают блоги? Какая выгода от этого атакующим?
12.11.2009 в 02:48А разве на агаве не стоит не каких программ по защите от досса?
14.11.2009 в 10:39А разве на агаве не стоит не каких программ по защите от досса?
16.11.2009 в 22:17Да какая выгода – самоудовлетворение идиотов, которые думают, что взломав блог, смогут и дальше идти. Руки отрывать за такие дела !
17.11.2009 в 00:58Интересно, надо бы и самому подумать как обезопаситься от ДДОСа, это ведь не только потеря посетителей но и позиций в поисковиках, хм
23.11.2009 в 09:10гс слава богу не грозят такие проблемки как doss-атаки,но вредоносное по постоянно атакует,но защититься легко.
23.11.2009 в 13:59Не надо ни в коем случае платить, а иначе они через месяц, пол года, год снова захотят бабла. Проверено.
25.11.2009 в 12:42Не даром есть такая стратегия, с террористами не ведутся переговоры, так и здесь. Заплатил один раз, потом не отстанут.
30.01.2010 в 19:53Я Вам не завидую, у меня один раз кто-то перенаправление на моём сайте сделал, так я сначала об этом даже не знал, пока Яндекс мне не написал, что на моём сайте вирус. Пришлось обновлять все файлы на всякий случай.
А с CMS вообще боюсь работать, так ка не знаю принципов работы MySQL. Так вот тоже взломают, что где восстанавливать – не знаю. Надо учиться.
У меня тоже была похожая ситуация
02.03.2010 в 20:46Еще ни разу не сталкивался с подобной ситуацией, да и опыта маловато если честно. Но вот спамеры уже начинают одолевать. Ладно бы вручную тематические посты делали, не жалко, от одной ссылки у меня не убудет, но на автомате расылать что нить типа “подписался на рсс” или “хм… прива…” это по моему только школьнег какой то делает )
12.04.2010 в 10:46нужно на хорошем хостинге сайты размещать где защита стоит!
18.08.2010 в 05:55