Непонятные запросы к сайту - что это?

[Generich]

Добрый день. Кто разбирается, помогите советом, пожалуйста.

Пришло письмо о превышении нагрузки от хостера. Посмотрел логи, и во время пиков обнаружил вот такие запросы:

1. Это очень сильно грузило. Запросы в теч. часа примерно. По 1-3 шт в секунду, с небольшими перерывами.

Код:

[10/Sep/2020:14:10:24 +0300] 0.600 0.600 404 176.14.143.187 мойсайт.ru POST /284783AB-9EA4-2A42-876B-4C720B7920B6/D31DB2BA-7ACC-CB47-BCC2-2DCAD046C583/except HTTP/1.1 "Mozilla/5.0 (Windows NT 6.1; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.105 YaBrowser/20.8.1.79 Yowser/2.5 Yptp/1.23 Safari/537.36" "

2. Чуть поменьше грузило, но тоже сильно. Где-то в теч. получаса по 1-3 запросу в секунду.

Код:

[11/Sep/2020:09:26:50 +0300] 1.800 1.800 404 85.249.164.147 мойсайт.ru GET /apple-touch-icon.png HTTP/1.1 "Mozilla/5.0 (Linux; arm_64; Android 8.0.0; RNE-L21) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/84.0.4147.135 YaBrowser/20.8.0.174.00 SA/1 Mobile Safari/537.36" "http://мойсайт.ru/страница.html" 7238 141.8.163.32 мойсайт

Ну, в общем-то вопрос в заголовке: Что это такое и что с этим делать?

[Chikk]

Цитата:

Сообщение от Generich

... и что с этим делать?

Забанить YANDEX LLC, как вариант. Ну или шаманить двиг и сервер, чтоб не грузился от такого.

add. Первый не посмотрел. Первый - просто банить, ибо нех.

[Generich]

Цитата:

Сообщение от Chikk

Забанить YANDEX LLC, как вариант.

Chikk, мож я не так понял, но банить что-то, где присутствует яндекс - как-то странно. Или это стеб?

зы. Если чо, то я нуб в этом вопросе. Мне б на пестиках-тычинках объяснить

[Chikk]

Цитата:

Сообщение от Generich

Или это стеб?

Это ирония.

А вообще, хорошо бы описать сперва состав лога. Не очень понятно где IP инициатора у тебя. Всёж-таки - это Линупс, а он у каждого свой. Но вангую, что во втором - просто Яндекс запрашивает фавиконку. А вот в первом хз кто, но вот этот POST запрос... такое уже весьма странно и наводит на мысли: жулики что-то хотят получить от сервера.

[Generich]

Цитата:

Сообщение от Chikk

Не очень понятно где IP инициатора у тебя.

айпишник 176.14.143.187, который после ответа сервера (404) и во всех запросах один и тот же. Понятно, что нужно его забанить, но не факт, что с другого/других не будут заходить.

Цитата:

Сообщение от Chikk

жулики что-то хотят получить

Ну вот и я об этом

[Chikk]

Цитата:

Сообщение от Generich

айпишник 176.14.143.187, который после ответа сервера (404) и во всех запросах один и тот же.

Ну а во втором логе - у тебя целых 2 айпишника. Второй из которых - принадлежит Яндексу. Кстати, по первому логу возникла мысль: а нет ли на сайте какой формы, что этот POST делает? Или может API какой там у тебя, в смысле у движка. Вот и генерирует запросы.

А по второму, да просто положи в корень эту вот apple-touch-icon.png, хоть в виде прозрачного png 1x1 px. И 404-е уйдут в небытие.

[Coder]

Защита сайта от слишком частого обращения http://coderhs.com/archive/defens_ddos

Можно также модифицировать и записывать забаненые в файл с последующим автобаном - то есть, если есть в файле, то просто отлуп сразу.

А для большей гибкости решения, записывать в файл автобана на неделю, например - таким образом будет постоянная проверка актуальных хулиганов и релиз случайных и исправившихся)

Ну, и можно ещё список тех, кого банить нельзя - ботов каких-то ПС, того же яндекса - можно как по айпи, так и по user агенту, например.

Тогда совсем душевно получится в комплекте.

Да - ставить в самый верх точки/точек входа

[Chikk]

Цитата:

Сообщение от Coder

Защита сайта от слишком частого обращения...

Странная защита - чтоб она сработала, сервер должен отработать запрос. Это как инструкция по избавлению от тараканов: сначала поймайте таракана, затем... Не лучше ли просто взять и...

[Generich]

Цитата:

Сообщение от Chikk

Второй из которых - принадлежит Яндексу

Не, не. Это, когда я названия домена менял, то случайно этот айпишник вставил туда. На самом деле там айпишник хостера, на котором сайт живет - спринхоста.

[Coder]

Цитата:

Сообщение от Chikk

Странная защита - чтоб она сработала, сервер должен отработать запрос. Это как инструкция по избавлению от тараканов: сначала поймайте таракана, затем... Не лучше ли просто взять и...

Запрос все одно должен пройти - иначе как реагировать на что-то. Только здесь попроще - отлуп в точке входа, до обработки лишний раз самого запроса сервером - до формирования ответа к выдаче.
То есть - точка входа и все - нет запроса к базе и тд и тп по запросу - только точка входа - индексный файл.

Ну, решения есть разные - пока что предпочитаю управляемые самостоятельно.