Moja sieť útočí na môj eshop

Moja sieť útočí na môj eshop
« kdy: 26. 10. 2018, 21:55:10 »
Dobrý deň
Sme malý výrobca a máme vlastný eshop na Wordpresse. Návštevnosť eshopu je 3000 - 5000 návštev mesačne.
Máme malú kancelársku wifi sieť: 2xNB Ubuntu LTS, 1x ruter Asus, 1xtlačiareň Samsung (cez wifi), 1x Blackberry, 1x Android.
Z notebookov sa pravidelne prihlasujeme do Wordpresu a cez SSH na virtualny server s eshopom. Všade máme silné heslá a na SSH sa prihlasujem cez klúč.

V minulosti nastala situácia, že na náš eshop prišlo viac ako 70 000 dopytov behom pár hodín na rôzne podstránky z našej zdielanej sídliskovej IP. Nepodarilo sa zistiť odkial presne.

V tedy som zmenil komplet heslá pre ruter, tlačiareň a wifi.
Požiadal som poskytovatela o pridelenie statickej verejnej IP v čom mi vyhovel a čakal som.

Teraz sa situácia opakuje. Včera (25.10) na náš eshop prišlo viac ako 70 000 požiadaviek. Z toho cca 30% bolo z našej statickej IP. Ostatné z iných zdrojov. Dnes 26.10 sa  nič nestalo.
Z toho jasne vyplýva že problém je aj v našej kancelárskej sieti.

Žiaľ do sieťí sa nerozumiem a neviem čo a kde by som mal hladať.

Viete mi s tým trochu poradiť?
Mal by som vyhladať nejakého špecialistu?

Ďakujem
« Poslední změna: 28. 10. 2018, 22:59:48 od Petr Krčmář »


Re:Moja sieť útočí na môj eshop.
« Odpověď #1 kdy: 26. 10. 2018, 22:14:27 »
Co je "sídlisková IP"?

Nemam vetrak ve vlasech

Re:Moja sieť útočí na môj eshop.
« Odpověď #2 kdy: 26. 10. 2018, 22:35:00 »
Žiaľ do sieťí sa nerozumiem a neviem čo a kde by som mal hladať.

Viete mi s tým trochu poradiť?
Mal by som vyhladať nejakého špecialistu?
Ja si myslim, ze sis i sam odpovedel.

Re:Moja sieť útočí na môj eshop.
« Odpověď #3 kdy: 26. 10. 2018, 23:07:57 »
Co je "sídlisková IP"?

To je IP adresa zdielaná medzi niekoľkími desiatkami domácností. Je pridelená nejakému ruteru čo obsluhuje časť nášho (pomerne malého) sídliska.

Teraz už mám statickú IP adresu.

Re:Moja sieť útočí na môj eshop.
« Odpověď #4 kdy: 26. 10. 2018, 23:09:46 »
Žiaľ do sieťí sa nerozumiem a neviem čo a kde by som mal hladať.

Viete mi s tým trochu poradiť?
Mal by som vyhladať nejakého špecialistu?
Ja si myslim, ze sis i sam odpovedel.

OK takže by som mal vyhladať špecialistu.

Máte nejaké konkrétne odporúčanie?


V.

Re:Moja sieť útočí na môj eshop.
« Odpověď #5 kdy: 27. 10. 2018, 00:07:48 »
Specialistou by mohl být každý zdejší návštěvník ...

A vy byste měl vědět, co přesně chcete změnit.

70.000 dotazů, přístupů nebo zakázek je špatně?

Můžete nějak změnit fungování e-shopu, způsob, jakým se evidují objednávky. Změnit pravidla pro přístup na e-shop, pokud je tam nějaký NAT, tak povolit přístup z rozsahu mimo tento NAT. Jestli to má tedy smysl. Můžete se hrabat v logách a ověřovat, zda objednávky jsou zadávané skriptem nebo člověkem.

Čili asi by bylo dobře zjistit, co se změnilo, že je teď tak odlišný stav.

Re:Moja sieť útočí na môj eshop.
« Odpověď #6 kdy: 27. 10. 2018, 09:32:21 »
Mal by som vyhladať nejakého špecialistu?
Ano. Ostatně měl byste mít někoho i na správu toho WordPressu a té kancelářské sítě.

Ten váš popis situace není zrovna srozumitelný, a navíc je to přirozeně popis toho, co vy si myslíte, že je problém, nikoli popis skutečné situace. Což není vaše chyba, není to váš obor – ale na základě toho bychom odpovědi mohli jen hádat. Zánět slepého střeva si také nebudete operovat sám na základě rad na fóru po té, co jste si ho diagnostikoval sám – taky půjdete za odborníkem, který si nejprve diagnózu udělá sám.

Re:Moja sieť útočí na môj eshop.
« Odpověď #7 kdy: 27. 10. 2018, 10:40:06 »
Mal by som vyhladať nejakého špecialistu?
Ano. Ostatně měl byste mít někoho i na správu toho WordPressu a té kancelářské sítě.

Ten váš popis situace není zrovna srozumitelný, a navíc je to přirozeně popis toho, co vy si myslíte, že je problém, nikoli popis skutečné situace. Což není vaše chyba, není to váš obor – ale na základě toho bychom odpovědi mohli jen hádat. Zánět slepého střeva si také nebudete operovat sám na základě rad na fóru po té, co jste si ho diagnostikoval sám – taky půjdete za odborníkem, který si nejprve diagnózu udělá sám.

Dobrý deň

Máte pravdu. Popis situacie nieje presný.

- Naša mesačná návštevnosť je cca 4 - 5 tisíc. Denná potom okolo 300 - 500 návštev.

- 70 000 dopytov / deň na rôzne časti stránky (nie priaté objednávky, nie návštevnosť), rozložené nerovnomerne. Sú tam nárazy v konkrétne časy.

- Včera v noci som pozeral štatistiky:

Polovica dopytov na webstránku:

Hosts:  jozko.pocitac1.chrbaty.sk
neznáma kraina, neznámi poskitovatel pripojenia, neznáme mesto (pri iných sú tieto údaje známe)
pravidelne stiahne 2,3GB

Z robotov potom:

HubSpot Webcrawler (nepoznám - ale vygooglil som otázky na blokáciu tohto robota)

bingbot (asi z vyhladávača bing - lenže prečo chodí na náš web každý deň a stiahne 1,5GB to mi jasné nieje)

Re:Moja sieť útočí na môj eshop.
« Odpověď #8 kdy: 27. 10. 2018, 11:13:55 »
Roboti vyhledávačů by se měli chovat slušně. Pokud stáhne velký objem dat, může to znamenat, že je váš web pro něj nový a pokouší se jej zaindexovat celý. Také to ale může znamenat, že máte nevhodně navrženou strukturu webu a že máte jednu stránku dostupnou přes mnoho různých adres, a robot pak stahuje ty různé adresy. To pak má negativní dopady i na výsledky vyhledávání, protože ty duplicitní stránky budou hodnoceny jako duplicitní obsah a bude se mezi ně rozmělňovat hodnocení.

Pokud se z jedné adresy stahuje velký objem dat, bude to opět nějaký robot a spíš to nebude útok. Otázka je, proč ten robot ty stránky stahuje. Objem opět může být daný nevhodnou strukturou URL,jak u toho vyhledávače. Pokud by to byl problém, je možné jednotlivé roboty zablokovat podle jména, kterým se hlásí, a nebo jejich IP adresy úplně odstřihnout na firewallu.

Ale jak už jsem psal, chce to najít někoho, kdo sítím rozumí, a kdo se podívá přímo na konfiguraci, do logů atd. A pak asi také někoho, kdo rozumí WordPressu a tvorbě webů – protože i kdyby měl ten e-shop spoustu obrázků a celý web opravdu měl jedno nebo dvě giga, není důvod, aby to nějaký robot stahoval každý den znova. Např. ty obrázky by se asi neměnily každý den, takže i kdyby si je robot znova vyžádal, měl by mu server odpovědět, že se obrázek nezměnil a neposílat ho znova celý.

poivhx

Re:Moja sieť útočí na môj eshop.
« Odpověď #9 kdy: 27. 10. 2018, 13:53:12 »
to nutně neznamená že to je bingbot, user agenta si jde přeci skoro jakkoliv změnit.

Re:Moja sieť útočí na môj eshop.
« Odpověď #10 kdy: 27. 10. 2018, 15:17:37 »
to nutně neznamená že to je bingbot, user agenta si jde přeci skoro jakkoliv změnit.
Nevíme, zda je to user agent – tohle spíš vypadá na výstup z nějakého logu IP adres.

xxxxx

Re:Moja sieť útočí na môj eshop.
« Odpověď #11 kdy: 27. 10. 2018, 22:30:21 »
Nejlépe neodhadovat co není napsané, ale poslat, ať si ověří. Když už žádá o radu.
Více (jak ověřit bingbot dle IP) zde: https://www.bing.com/webmaster/help/how-to-verify-bingbot-3905dc26