Как убрать нагрузку на сервер?

[dian@]

Добрый день. Столкнулась с такой проблемой:

имеем 2 одинаковых форума, одному уже 3 года исполнится. Больше года гнездимся на одном хостинге, к работе которого претензий не имеем, цены тоже приемлемы. В один прекрасный момент получаем письмо от хостера, про увеличенную нагрузку на CPU сервера от одного из форумов. И через определенный период нам закрывают аккаунт. После некоторой переписки сайт заработал, но по адресу, где расположен форум зайти нельзя, выдает ошибку 403.

 

Вот что пишет сам хостер:

У вас сдесь сессия передается не через кукис, а прямо в строке запроса,

потому поисковики бегают по этому форуму кругами дико расходуя ресурсы.

 

Если форум вам не нужен - впишите в его .htaccess

deny from all

 

короче вам нужно чтобы в ссылках на форуме

индекс.пхп?s= 7 8 2 4 6 2 6 6 b 4 8 d 1 5 6 f 0 2 7 6 2 2 e 0 5 2 b 0 2 9 8 ashowforum=2

пропало это самое

s=78246266b48d156f027622e052b0298a

 

(форум нам нужен, вообщето)

Как это решить? Внятного ответа от техподдержки я не получила, ответ был достаточно жесток, мол, они не будут помогать в том, чтоб помочь нам платить хостеру меньше. И порекомендовали перейти на тариф выше. Я бы и перешла, только считаю, что работа форума с такой нагрузкой ненормальна.

 

Спасибо заранее.

[FatCat]

можно расшифровку?

однушка имеется ввиду 1.x или 2.1.x

У меня 1.3.

 

 

можно попросить написать мод? мне так в общих словах не повторить. если не сложно конечно. у меня 2.1.7

Я плохо знаю "двушки", и написание под них у меня займет много времени. Соответственно, в моем исполнении это будет не дорого, а очень дорого.

Под "однушку" я себе написал, все работает и на моем, и на нескольких дружественных форумах.

[AEC]

а где можно глянуть твой вариант под 1.x ?

может я смогу адаптировать...

[FatCat]

а где можно глянуть твой вариант под 1.x ?

может я смогу адаптировать...

Сейчас в личку брошу код.

[AEC]

я всё же остановился на скрипте - http://mods.invisionize.com/db/index.php/f...rewall%20Script

 

давно его обсуждали - http://forums.ibresource.ru/index.php?show...mp;#entry232760

[FatCat]

я всё же остановился на скрипте - http://mods.invisionize.com/db/index.php/f...rewall%20Script

Посмотрел коды, серьезная штука. Понравилось, умно сделано.

[AEC]

да. правда не знаю игнорируются ли поисковики в коде. сперва автор этого не реализовал. а теперь вот нужно пересмотреть код, чтобы понять. если кто раньше глянет, отпишитесь, плиз.

[Док]

А по подробней о этом моде можно ?

Мне же тоже это надо

[FatCat]

да. правда не знаю игнорируются ли поисковики в коде

В коде есть вполне понятный список:

	$apps[] = 'googlebot';			// Google (Adsense)
$apps[] = 'mediapartners-google';
$apps[] = 'yahoo! slurp';		// Yahoo (MMCrawler/MMAudVid)
$apps[] = 'yahoo-mm';
$apps[] = 'slurp@inktomi';		// Hot Bot
$apps[] = 'lycos';				// Lycos
$apps[] = 'fast-webcrawler';	// Fast AllTheWeb
$apps[] = 'msnbot';				// MSN Search
$apps[] = 'ask jeeves';			// Ask Jeeves
$apps[] = 'teoma';				// Teoma
$apps[] = 'scooter';			// Altavista
$apps[] = 'ia_archiver';		// Archive.org
$apps[] = 'almaden';			// IBM Almaden Web Crawler
$apps[] = 'gigabot';			// Gigabot spider
$apps[] = 'whatuseek';			// What You Seek

Изменено 23 Июля 2009 пользователем FatCat

[AEC]

мои параметры мода:

$conf['maxaccess'] = 5;

$conf['interval'] = 2;

$conf['requests'] = 25;

$conf['blocktime'] = 60;

[FatCat]

интересно что это?...

Это не тебя, это хостера ломали.

[velform]

94.100.181.243 - это бот или грабер ?

[AEC]

интересно относительно InV-Firewall Script 1.0.0 то, что когда-то давно 1-2 года назад ставил сей мод и меня поломали спустя несколько дней. и вот прошло столько времени... с тех пор я довольно много чего сделал в плане защиты форума 2.1.7 и вот снова решил снизить нагрузку на сервер поставив этот скрипт.

не знаю совпадение ли, но спустя в этот раз 3-4 недель меня снова ломают. в этот раз я довольно быстро увидел это и отключил сервер.

ущерб пока минимален - переименовано пять первых тем форума на: "Site Hacked By Georgian1115"

 

совпадение? или в скрипте дыра? что скажут гуру?

[FatCat]

совпадение? или в скрипте дыра?

Там всего 9 Кб кода...

При беглом просмотре явных дыр не увидел.

[Ritsuka]

А вы читали тему поддержки этого мода? Почитайте, развлечетесь и заодно поймете, почему вам не стоит пользоваться сим продуктом)))

[AEC]

если можно, то скажите прямо в чём дело.

[Ritsuka]

Ползователи нашли полдюжины багов, а автор сказал, что у нет времени заниматься фигней и бросил поддержку мода почти сразу после выпуска, еще в далеком 2007 году.

[AEC]

а, ну это не значит что есть дыры для взлома. надеюсь во всяком случае. но мод ест-но снесу от греха подальше...

[Ritsuka]

Кстати, не ваш форум ломают на этом видео: [ссылка удалена по просьбе владельца форума]? Изменено 13 Сентября 2009 пользователем Ritsuka

[AEC]

да, мой! спасибо!

странно, но мой сайт у него типа первый в списке. до этого я не вижу подобных "работ"

 

он там с начала ролика под моим логином уже. странно всё это...

 

если есть соображения где дыра, отпишите плиз.

[Ritsuka]

Судя по открытому Perl у хацкера, скорее всего этот экспоит: http://www.securiteam.com/exploits/5GP0E2KFQQ.html

[AEC]

снова спасибо. правда я не настолько силён в этом.

хакер вышел на связь... это был perl exploit... бонально

я-то считал что все заплатки на месте.

добавил SQL-инъекция в IP адресе.

[FatCat]

SQL-инъекция в IP адресе.

Тогда вполне возможно, что через InV-Firewall Script 1.0.0 - там дохленькие регулярки проверяют входящие айпишники.

Не знал, что можно так подделать айпишник, чтобы туда влетел произвольный текст.

 

Могу предложить мою проверялку айпишников из моего мода безопасности:

		$error_format_ip = 0;
	$ipt = explode(".",$ip);
	foreach($ipt as $ipr)if($ipr != intval($ipr)."")$error_format_ip++;

[AEC]

можно подробней куда сей чудо-код лепится? спасиб.

 

ЗЫ подробнее о взломе такого типа как был у меня можно увидеть тут - http://www.youtube.com/watch?v=VUCtUSUiF44

[FatCat]

можно подробней куда сей чудо-код лепится? спасиб.

Вот их функция:

function fetch_ip()
{
$ip = $_SERVER['REMOTE_ADDR'];
if( isset($_SERVER['HTTP_CLIENT_IP']) )
{
	$ip = $_SERVER['HTTP_CLIENT_IP'];
}
elseif( isset($_SERVER['HTTP_X_FORWARDED_FOR']) && preg_match_all('#\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3}#s', $_SERVER['HTTP_X_FORWARDED_FOR'], $match))
{
	foreach( $match[0] as $v )
	{
		if( ! preg_match("#^(10|172\.16|192\.168)\.#", $v) )
		{
			$ip = $v;
			break;
		}
	}
}

if( ! $ip || $ip == '...' )
{
	print_error("Could not determine your IP address.");
}

return $ip;
}

Я бы предложил ее заменить на:

function fetch_ip()
{
$ip = $_SERVER['REMOTE_ADDR'];
if( isset($_SERVER['HTTP_CLIENT_IP']) )
{
	$ip = $_SERVER['HTTP_CLIENT_IP'];
}
elseif( isset($_SERVER['HTTP_X_FORWARDED_FOR']))
{
	$ip = $_SERVER['HTTP_X_FORWARDED_FOR'];
}
$error_format_ip = 0;
$ipt = explode(".",$ip);
foreach($ipt as $ipr)if($ipr != intval($ipr)."")$error_format_ip++;
if(!$error_format_ip and count($ipt)==4)
{
	return $ip;
}
else
{
	print_error("Could not determine your IP address.");
	return '...';
}
}

[Ritsuka]

http://www.youtube.com/watch?v=VUCtUSUiF44

На этом видео все тот же exploit от RST/GHC, только теперь в красивой обертке. Куда интереснее, была ли выпущена заплатка от этой дыры, или IPS/IBR предлагают только обновляться?