Нужна помощь. Кто-то решил устроить ДОС атаку на мой сайт.
 

Вот моя переписка с хостером. По ней я думаю сразу станет понятно, в чем моя проблема.

"This account has been suspended.

Either the domain has been overused, or the reseller ran out of resources."

Вот такая вот ошибка вместо моего сайта. best-kontent.ru

Хостер.
Врядли это может быть связано с перегрузкой. Так как на сайте проктически нулевая аудитория.
Ну, аудитория тут ни при чем. Кто-то мог, например, захотеть выкачать весь сайт и начал слать непрерывно запросы, или еще что-то - если хотите, посмотрю в логах, кто и откуда их слал.

Если на сайт одновременно больше 16 запросов приходит в каждый момент времени, в течении минуты или дольше - сервер блокирует аккаунт, чтобы не было перегрузки. Я его разблокировал сейчас, должно
работать.

Снова поток запросов пошел.

Запросы идут на сайт best-kontent.ru, с разных IP. Запрашивается главная страница. Похоже что кто-то ваш сайт решил заддосить.

Я отключил его в DirectAdmin. Можете, конечно, обратно включить, но он снова отключится, когда перегрузка возникнет.

Вопрос. Кому это надо? и что делать?

Нужно быстро написать антиддосер.
По принципу: если за одну секунду было больше двух-трех запросов, скрипт останавливается и выдает пустую страницу или текст "сайт перегружен". Поставить код самым первым. Писать лог можно в файл и периодически его укорачивать.

А поподробней? Или за денюжку?;) И как сделать без вреда сайта?

могу на пхп прямо сейчас и написать. :)
Нужен пхп и доступ к чтению/записи файла. Напишу за полминуты примерно. :)

У блог на Wordpress, ничего сташного? Доступ к хостингу нужен?

доступ не нужен. Если у вас работают файлы *.php, то скрипт заработает. Зараз напишу.

не спасет. сам скрипт будет сервер вешать.

Создайте файл visits.tmp с произвольным содержанием размером в три килобайта
Вставьте этот код в самое начало скрипта, который грузится с главной
SRand((double)microtime()*1000000);
$WriteStr=' '.TIME().' ';
$fw=FOpen('visits.tmp',"r+");
$Position=Rand(0,FileSize('Visits.tmp')-StrLen($WriteStr));
FSeek($fw, $Position);
FWrite($fw,$WriteStr);
FSeek($fw, 0);
$Info=@fread ($fw,@FileSize('Visits.tmp'));
FClose ($fw);
if(subStr_count($Info,$WriteStr)>2){echo 'Извините сайт перегружон'; die();}
ClearStatCache();
-------

все :)
надеюсь, написал без ошибок.

PS
немного поправил, закрытие файла было слишком рано :)

Можете объяснить какой смысл такой атаки? Школьники балуются?

скрипт слишком прост, чтобы повесить сервер

Тут вроде про нагрузку и скорость выполнения скрипта ничего не сказано, даже если все скрипты убрать, при 16 запросах в секунду сайт вырубится.

При 16 запросах, которые все вместе займут память на одну секунду. :)

тем не менее - скрипт имеет досадный косяк - Вы не задумывались - что произойдет с файлом, если в него начнут писать в одну секунду 16 скриптов :D

давайте серьезнее, процесс Apache при условии шарных модулей - жрет не более 4Мб ОЗУ, допустим сама CMS жрет еще 12Мб ОЗУ, итого 16Мб ОЗУ, при выполнении 16 конкурентных процессов получим 16х16 = 256Мб ОЗУ :D

а ТС совет - не слушайте никого, просто перейдите под нормальный хостинг, который умеет настроить примитивные антифлуд решения :D

Собственно гогворя. А как создать файл TMP?

Добавлено через 1 минуту
Вот, что мне хостер предложил:"Проще всего - закачать на сайт index.html, в котором будет редирект через javascript на настоящую главную страницу. Тогда роботы будут получать этот index.html, это нагрузку не повысит, а живые люди с браузером будут редиректом попадать на настоящую главную страницу.

Если хотите, сделаем вам такое перенаправление."

Добавлено через 37 секунд
Это точно решит проблему?

боты разные бывают, но само решение - безусловно правильное и должно помочь, только это временное решение, если конечно Вас заботит нормальная индексация сайта поисковиками

зависит от хостера :)

Я бы отказался от такого сайта, из-за него будет страдать остальная тысяча, а если хостинг крупный то из десятка тысяч клиентов проблемных будет пару десятков и что с ними делать? правильно похорошошему попрощаться, а все антиддосы ужастно сказываются на качестве работы хостинга, сталкивался с нетсолхостом и его идеальной защитой)) а вконтакте вобще защитился, отрезав весь мир от себя кроме снг.

То есть, это тоже не выход? Дос атака длиться бесконечно?

а если хостинг крупный - то для него дело чести - защитить клиента - и показать тем самым - что он может бороться с хулиганами :)

да бросьте - взгляните на антиддосы Яндекса и Гугла - неужели пользователи замечают работу этих фильтров? :)

ну по всей видимости у них не нашлось нормальных проектировщиков HA проекта, хотя это само по себе очень странно

я считаю, что они закрылись таким образом не из-за ддос, а из-за пиринговых соглашений по трафику, тем более у них сейчас в основном тяжелый и медийный трафик, который гнать за бугор - очень дорогое и невыгодное удовольствие...

это вопрос к ее зачинщикам, т.е. сколько они готовы продолжать атаку - это же только им известно - не так ли?

из простых решений - перенести сайт на отдельный айпи адрес, далее настроить файрвол, т.е. лимитировать количество подключений к морде сайта, также провести оптимизацию, добавить кеширование морды, как пример - переименовать index.php в нечто другое, а потом просто добавить скрипт, который по крону дергает морду раз в минуту и выкладывает index.html :D

Точно не бесконечно, боты при ддосе мрут как мухи. Надо посмотреть каких стран ip, если это европа или юса то такие боты стоят от 100$ за 1к и ддос обходится дороговато, а если какой нить китай или азия то ддосить могут подольше т.к стоимоть ~10$ за 1к

Добавлено через 1 минуту
какие мы крутые на словах, а в реале покажи мне хостинг который я не смогу заддосить?) выкинут как мусор любой сайт, наврут с 3 короба вылижут, но выкинут

Добавлено через 1 минуту
у них свои дц по всему миру, а ддос идет обычно миксом и если микс разложить по странам и направить каждую в совой дц, то это будет уже не ддос, а бугага для мощностей гугла

Добавлено через 2 минуты
наверно так и есть

да что вы говорите, - а если боты довольно интеллектуальны?

Вы поймите - каждый 10-ый клиент может нести "бота" в своем компе, - нельзя просто резать методом БАНа на уровне файрвола, - это просто не выход, делайте так, чтобы ддосить было просто нереально, т.е. мягкое лимитирование количества подключений

откуда такая информация - Вы случаем сами не ддосите ТС? :D

скул-ддос может быть настолько примитивным - что в нем могут вообще отсутствовать боты, - как пример - тупо сольют дорвейный немонетизируемый трафик на страничку с сотней ифреймов к морде сайта ТС... и все - скул-хост не выдержал скул-ддос :D

показывать пальцем не буду - но скажу прямо - есть и такие - просто они стоят значительно дороже

да и любой западный крупный хостер - отражает простейшие ддосы на своего клиента, т.е. 16 запросов к морде - для них это даже не нагрузка :D

Абсолютно согласен. В реале наши даже хваленые хостинги выкидывают любой сайт который их хоть чуток начинает напрягать.
Если ТС всерьез озабочен защитой надо обращаться к специалистам, например http://www.antiddos.biz/

это вечная борьба провайдеров и антивирусных компаний с "хакерами", вот обычная схема -> юзер отсылает подозрительный файл в антивирусную компанию, там смотрят и видят покриптованого зевса, дальше домен с админкой заносится во всевозможные блеклисты из которых потом обновляются провайдеры/хостеры/фаерволы и т.п, поэтому чем больше ботов спалится тем больше проблем для злоумышленника и при ддосе нагрузка на инет юзера очень большая, человек не понимает что это его комп скачивает из интернета и начинает разбираться со всеми вытекающими.

Добавлено через 7 минут
Тоесть как бы боты остаются у юзеров, но вот достучатся до админки за новым заданием уже не могут, т.к провайдер или фаервол уже фильтруют этот адрес.

Добавлено через 4 минуты
В случае с ТС думаю надо просто немного переждать и принять меры которые рекомендует хостер.

Добавлено через 51 минуту
Ифреймы на странице грузятся не одновременно, а поочереди =) получается, что надо так же отправить 16 уникальных юзеров, что бы получить 16 одновременных запросов или юзеров 5 если 16 запросов секунду. Следовательно нужен поток из 1382400 юзеров в сутки в первом случае и 432000 во втором, такой ддос это полный бред) хотя если грамотно зациклить ифрейм, в несколько раз можно уменьшить эту цифру, но не всяком трафе так можно сделать, да и рефферер будет виден, что гарантирует ответные меры.

А что насчет смены IP? Поможет?

Добавлено через 16 минут
А может это CHEAPTOP?
http://forum.sape.ru/showthread.php?t=51305
Они ж тут пакостить обещали...
http://forum.sape.ru/showpost.php?p=798093&postcount=26

Неа, запросы же на домен идут как я понял.

Лучший ответ. Подождал - помогло!