Странная активность с одного адресного пространства

Автор Солярис, 30 ноября 2017, 12:36:32

« предыдущая - следующая »

0 Пользователей и 1 гость просматривают эту тему.

Солярис

30 ноября 2017, 12:36:32 Последнее редактирование: 30 ноября 2017, 12:59:16 от Солярис
Приветствую!

Заметил со вчерашнего вечера и сегодня утром чрезмерную активность (резко возросшую) со следующих IP-адресов:
95.163.97.
95.163.99.
95.163.101.
95.163.102.
95.163.103.
95.163.107.
95.163.118.
95.163.137.

Сотни подключений.

Что это может быть и что это за IP?

Пока забанил через .htaccess.

Соотнести с поисковыми ботами вроде бы не получается. Хотя, может быть, не правильно проверяю.

Проверял при помощи команды  nslookup .

Заранее спасибо за помощь.

S.T.A.L.K.E.R.

А что они делают?Просматривают страницы или?Сотни подключений это за какое время?
Я не смотрю за таким,у меня за таким файрвол смотрит,и если IP начинает черезмерно борзеть то банит его.

Солярис

Ну, сразу заходят и начинают по всему форуму шастать. Вплоть до самых старых тем. Так реальный пользователь себя не ведет. Да и резкость возникновения такого притока также настораживает.

Как в бан отправишь это адресное пространство, то сразу с форума эти сотни приведений исчезают.

Вот например запись в логах:

Код
www.сайт_такой-то.ru 95.163.102.129 - - [29/Nov/2017:10:00:06 +0300] "GET / HTTP/1.1" 200 142019 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36"

Или

Код
www.сайт_такой-то.ru 95.163.137.185 - - [29/Nov/2017:12:00:04 +0300] "GET /index.php?topic=35116.0 HTTP/1.1" 200 52327 "-" "Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36"

iaroslav

Скорее всего просто какие-то боты либо парсят ваш сайт, либо тыкаются по известным им адресам уязвимостей. За подробностями можно посмотреть error.log на сервере. Если там адреса запросов вроде ваш_сайт/admin ваш_сайт/wp_admin и т.д. то это уязвимости ищут. Если вообще никаких ошибок с этих адресов нету, то сайт парсят.

GeorG

Верстка тем по шаблону, их доработка/переработка, переделка тем с версии smf 1.1 на smf 2.0. Примеры работ - insidestyle.ru
Установка модов (заточка под ваш форум); Моды под заказ; Обновление форума; Правильный перенос; Удаление/лечение вирусов; Устранения ошибок.
Обращаться в ЛС
Мой форум
Модуль анти-спама CleanTalk, сам пользуюсь
Сервера которыми сам пользуюсь - cadedic.ru

Солярис

Подскажите, при блокировке не конкретного IP-адреса, а фактически диапазона, надо ли в .htaccess после указания не полного IP-адреса ставить точку вот так:
Deny from 95.163.137.

или надо так

Deny from 95.163.137


Спасибо.

S.T.A.L.K.E.R.

Цитата: Солярис от 13 февраля 2018, 10:05:24Подскажите, при блокировке не конкретного IP-адреса, а фактически диапазона, надо ли в .htaccess после указания не полного IP-адреса ставить точку вот так:
Deny from 95.163.137.

или надо так

Deny from 95.163.137


Спасибо.
Deny from 95.163.137.0/255
Где то так,диапазон укажите свой.