DDoS от неочаквана посока или „трябва ли да се страхувате от PS ботове“
Искам да разкажа една интересна история за взаимодействието с роботите за търсене и по-специално с ботовете на великия и могъщ Yandex.
Преамбюл. Имам специален сървър, който управлява около няколко десетки сайта. Никога не е имало проблеми, машината е весела, нова. Преди няколко дни дойде сигнал, че всичко "виси". Трябваше да направя дистанционно рестартиране. По-късно забелязах, че натоварването на процесора се увеличи до 60% от 10% и започна да остава на това ниво. Разбира се, че се притеснявах, но никога не се знае. А вчера всичко увисна напълно. Рестартиране - зареждане и отново пълно спокойствие. Всички сайтове са недостъпни. След наблюдение на процесите видях, че mysql се зарежда на 99,9%. Изненадан отидох да потърся сайт, от който идва такова изтегляне. Намерих го, премахнах други заявки и видях, че някой упорито избива 40 хиляди заявки в секунда, претоварвайки лошата база данни с „не мога да го направя“. Започвам да копая логове и виждам подмрежите, от които идват тези заявки. Свързвам се със сървъра, записвам DROP в iptables с помощта на маската /24 и всичко се връща към нормалното.
Забелязах, че ddoser изпраща идентификацията на Yandex бот. Малко ме изненада, но никога не се знае. Реших да проверя и се оказа, че двете подмрежи, които трябваше да забраня, принадлежат на Yandex паяци.
В момента филтърът е затворен от индексиране чрез htaccess, ботовете са дебаннати и чакам отговор от поддръжката на Yandex.
И разбирам, че ако бях по-разсъдлив, нямаше да има такива проблеми. Но все пак.
И тук можете да получите грант за тестов период на Yandex.Cloud. Необходимо е само да въведете "Habr" в полето "секретна парола".