В прошлом году все нейросети обучали: то бот от Claude прибегал, то от Tencent.
Теперь ботнеты бегают практически ежедневно, но я не могу понять их цель.
Это реально ботнет, айпишники провайдерские из разных стран, но user-agent у всех абсолютно одинаковый.
Топчутся на форуме и больше ничего не делают. Начал выдавать им 403 ошибку — не реагируют.
Нагрузка на сервер минимальная, т.е. это не DDOS.
Регистрироваться и спамить не пытаются.
Грузят только html, т.е. и трафик минимальный и GA не портят.
Единственный минус 100 тыс хитов в логах каждый день.
Еще какая-то странная фигня с GSC, постоянно появляются дубли странц с рандомными параметрами.
Т.е. кто-то ставит ссылки вида page.html?kejvnb=k346wegvnmMR, но в отчетах нет источника ссылки.
Сейчас еще появился живой веб-поиск от чат-ботов для пользователей.
Можно искать актуальную информацию по сайтам, ИИ сделает выжимку из полученной информации. Поиск инициирует пользователь-человек, а вы видите ИИ-ботов в логах вашего сайта.
Здравствуйте, PeterOne, Вы писали:
PO>Сейчас еще появился живой веб-поиск от чат-ботов для пользователей. PO>Можно искать актуальную информацию по сайтам, ИИ сделает выжимку из полученной информации. Поиск инициирует пользователь-человек, а вы видите ИИ-ботов в логах вашего сайта.
у меня не ИИ-боты, а девайсы живых людей долбят форум
я же написал, что IP провайдерские — от Ростелекома до Verizon
Здравствуйте, icezone, Вы писали:
I>у меня не ИИ-боты, а девайсы живых людей долбят форум I>я же написал, что IP провайдерские — от Ростелекома до Verizon
Идея в том, что если, например вам, нужно добыть данные, то это сейчас не так просто сделать потому что многие сайты обзавелись Cloudflare и системами блокирующими доступ роботов. Часто это делается намеренно чтобы не допустить слизывания информации с каталогами, ценами, рейсами и т.п.
Но сейчас появились промежуточные сервисы, у которых можно купить доступ к вебсайтам в обход их анти-роботовых систем. Зачастую это всё подается в красивой упаковке с официальным API, и вообще выглядит как нормальный белый бизнес.
Как вы можете уже догадаться, за этой "белой" упаковкой под капотом находятся галеры и круги ада. Для начала, у них есть пул своих серверов которые занимаются "посещением" сайтов по запросу клиентов сервиса датамайнинга. Часть этого пула как и положено закупается официально у хостеров и дата центров, другая часть — официально и полуофициально за деньги у рядовых граждан с доступом к интернету ("установите нашу программу и вам будет капать маленькая, но денюжка").
Также, поскольку деньги не пахнут, некоторые сервисы распространяют свой ПО комплекс датамайнинга без ведома пользователей, используя бандлинг, а иногда и уязвимости в ОС, Это так называемый "pup (potentially unwanted program)" (или даже "malware" смотря как к этому относится). Большого вреда такие PUP не делают, но еле заметно кушают ваш трафик и энергию забесплатно и без вашего прямого ведома. При этом конечные клиенты сервиса датамайнинга получают качественную услугу поданную в красивой упаковке за деньги, тоже относительно небольшие, кстати.
Вы же, как вебмастер, уже видите конечный результат этого процесса — много-много агентов от репки до дедки медленно, но планомерно ползают к вам за информацией.
Здравствуйте, Aquilaware, Вы писали:
A>Идея в том, что если, например вам, нужно добыть данные
Здесь рыбы нет (c)
Я в том смысле, что толпа ботов целый час читает FAQ форума. Пользы от этого никакого.
Но на всякий случай перенесу форум на отдельный сервер. Может это была репетиция...
Здравствуйте, icezone, Вы писали:
I>В прошлом году все нейросети обучали: то бот от Claude прибегал, то от Tencent. I>Теперь ботнеты бегают практически ежедневно, но я не могу понять их цель.
А меня вот DDoS'ят уже пол-месяца. Отправляют на форум (PhpBB3) GET запросы к разным страницам форума c рандомным sessionid, что заставляет форум обращаться к базе, сохранять sessionid и т.д и что в итоге вызывает mysql too many connections.
В начале DDoS шла с серверов Alibaba, затем с серверов Tencent cloud computing. Я их просто забанил в фаерволе по диапазонам. А затем началась нормальная такая DDoS с абсолютно разных IP, совершенно разных стран (в основном с пользовательских IP, не корпоративных). В начале PhpBB показывал 5-6 тысяч пользователей онлайн, и потихоньку дошло до 12 тысяч (примерно с такого же количества разных IP идут запросы). Атаки идут волнами, то затихают то снова разгораются с новой силой.
Ума не приложу, кому и зачем нужно так упорно DDoSить мой скромный сайт. Это же явно не бесплатное развлечение.
Здравствуйте, mauzer_tim, Вы писали:
_>А меня вот DDoS'ят уже пол-месяца. Отправляют на форум (PhpBB3) GET запросы к разным страницам форума c рандомным sessionid, что заставляет форум обращаться к базе, сохранять sessionid и т.д и что в итоге вызывает mysql too many connections.
_>Ума не приложу, кому и зачем нужно так упорно DDoSить мой скромный сайт. Это же явно не бесплатное развлечение.
так я об этом и пишу, один в один картина
даю подсказку, заходишь в панель PhpBB3, добавляешь бота с User-agent ".0.0.0 Safari/537.36" и проблема с sessionid решена
я потом в конфиге nginx добавил правило чтобы наглухо их заблокировать
я тоже не могу понять смысл этого действия, как и рассылку спама с бессмысленным текстом
Здравствуйте, icezone, Вы писали: I>так я об этом и пишу, один в один картина
Я так понял, у тебя они не создают нагрузки, а вот у меня прямо начинает лагать сайт, если ничего не делать.
I>даю подсказку, заходишь в панель PhpBB3, добавляешь бота с User-agent ".0.0.0 Safari/537.36" и проблема с sessionid решена
Забавно, похоже у тебя тот же самый user agent ботнета:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36
Да, я уже добавил его как бота в настройках PhpBB, и это существенно снизило нагрузку. Но вот банить его полностью на уровне фаервола или конфига браузера я бы не стал, все же это user agent Google Chrome годовалой давности. Так можно и нормальных пользователей забанить, пусть их и совсем немного будет.
Но, думаю это ненадолго поможет. Прикрутить смену user-agent'a это весьма несложная задача. А они там постоянно что-то меняют в своем ботнете. Например, вчера начали атаку на мой второй форум, хотя ранее не трогали его, вероятно, потому что он уж достаточно давно в read-only статусе.
Для начала, я попробую модифицировать PhpBB или найти готовый плагин — сделать, чтобы он не сохранял sessionid в базу для гостей.
I>я тоже не могу понять смысл этого действия, как и рассылку спама с бессмысленным текстом
Могу лишь предположить, что просто тренируются на кошках — допиливают и в процессе так тестируют свой ботнет, чтобы потом начать по серьезному применять в каких-то своих грязных целях.
Здравствуйте, mauzer_tim, Вы писали:
_>Я так понял, у тебя они не создают нагрузки, а вот у меня прямо начинает лагать сайт, если ничего не делать.
У меня чистый nginx, без apache, как избавился от сессий, так и нагрузка не выше 5% стала
_>Забавно, похоже у тебя тот же самый user agent ботнета: _>
_>Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/129.0.0.0 Safari/537.36
Да, он самый.
_>Да, я уже добавил его как бота в настройках PhpBB, и это существенно снизило нагрузку. Но вот банить его полностью на уровне фаервола или конфига браузера я бы не стал, все же это user agent Google Chrome годовалой давности. Так можно и нормальных пользователей забанить, пусть их и совсем немного будет.
Я не уидел чтобы в UA была версия Chrome с нулями, проверил логи за прошлый год — ни одного хита не нашел.
_>Но, думаю это ненадолго поможет. Прикрутить смену user-agent'a это весьма несложная задача. А они там постоянно что-то меняют в своем ботнете. Например, вчера начали атаку на мой второй форум, хотя ранее не трогали его, вероятно, потому что он уж достаточно давно в read-only статусе.
Могут, но пока не делают. Выдаю им ошибку 504, пусть думают что положили сервер.
_>Для начала, я попробую модифицировать PhpBB или найти готовый плагин — сделать, чтобы он не сохранял sessionid в базу для гостей.
Я решил просто избавиться от слабого звена — переношу форму на отдельную VPS, там живых пользователей почти нет.
_>Могу лишь предположить, что просто тренируются на кошках — допиливают и в процессе так тестируют свой ботнет, чтобы потом начать по серьезному применять в каких-то своих грязных целях.
Здравствуйте, icezone, Вы писали: I>Я не уидел чтобы в UA была версия Chrome с нулями, проверил логи за прошлый год — ни одного хита не нашел.
Судя по всему, у Хрома она всегда с нулями. Вот, например UA моего браузера:
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36
I>Я решил просто избавиться от слабого звена — переношу форму на отдельную VPS, там живых пользователей почти нет.
Да, это тоже норм решение. Его потом отдельно можно накрыть Cloudflare, чтобы не накрывать им весь сайт.
Здравствуйте, mauzer_tim, Вы писали:
_>Здравствуйте, icezone, Вы писали: I>>Я не уидел чтобы в UA была версия Chrome с нулями, проверил логи за прошлый год — ни одного хита не нашел. _>Судя по всему, у Хрома она всегда с нулями. Вот, например UA моего браузера: _>
_>Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/136.0.0.0 Safari/537.36
У меня так
Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
посмотрел за этот год — нули были у ботов Bytedance, но живых несколько человек похоже было
убрал блокировку
I>>Я решил просто избавиться от слабого звена — переношу форму на отдельную VPS, там живых пользователей почти нет. _>Да, это тоже норм решение. Его потом отдельно можно накрыть Cloudflare, чтобы не накрывать им весь сайт.
Здравствуйте, mauzer_tim, Вы писали:
_>Здравствуйте, icezone, Вы писали:
I>>Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/97.0.4692.71 Safari/537.36
_>Динозавыр детектид Это у тебя старая версия. По логам вижу, что где-то до 122 версии был полный номер, а потом стали с нулями.
При этом в About Показывает Version 136.0.7103.114 (Official Build) (64-bit) и в Network conditions выбрано Browser default.
Здравствуйте, Stanislaw K, Вы писали:
SK>Здравствуйте, mauzer_tim, Вы писали:
_>>Ума не приложу, кому и зачем нужно так упорно DDoSить мой скромный сайт. Это же явно не бесплатное развлечение.
SK>Сутки такого развлечения стоят дешевле школьного завтрака.
а эффект вообще нулевой
SK>Нельзя исключать и опечатки в адресе "цели".
Здравствуйте, icezone, Вы писали:
_>>>Ума не приложу, кому и зачем нужно так упорно DDoSить мой скромный сайт. Это же явно не бесплатное развлечение.
SK>>Сутки такого развлечения стоят дешевле школьного завтрака. I>а эффект вообще нулевой
Это делается не для (ожидаемого тобой) эффекта, а (для удовольствия) "потому что могу!".
SK>>Нельзя исключать и опечатки в адресе "цели". I>для более крупного сайта вообще будет незаметно.
1M pps дополнительных запросов положит большинство сайтов. другой вопрос что "денег на школьный завтрак" хватит минут на 10 такой атаки.
Здравствуйте, icezone, Вы писали: I>При этом в About Показывает Version 136.0.7103.114 (Official Build) (64-bit) и в Network conditions выбрано Browser default.
Мне кажется, ты либо что-то перепутал, либо у тебя какой-то плагин, меняющий UA стоит.
ЗЫ. Кстати, ботнет прекратил атаковать спустя несколько часов, после того я ему (данному UA) стал показывать ошибку 503.
Здравствуйте, mauzer_tim, Вы писали:
_>Здравствуйте, icezone, Вы писали: I>>При этом в About Показывает Version 136.0.7103.114 (Official Build) (64-bit) и в Network conditions выбрано Browser default.
_>Мне кажется, ты либо что-то перепутал, либо у тебя какой-то плагин, меняющий UA стоит.
похоже он запомнил строчку после каких-то тестов, попробовал менять настройки — UA стал правильным
из расширений стоит только uBlock Origin
_>ЗЫ. Кстати, ботнет прекратил атаковать спустя несколько часов, после того я ему (данному UA) стал показывать ошибку 503.
Здравствуйте, Stanislaw K, Вы писали:
SK>Здравствуйте, icezone, Вы писали:
_>>>>Ума не приложу, кому и зачем нужно так упорно DDoSить мой скромный сайт. Это же явно не бесплатное развлечение.
SK>>>Сутки такого развлечения стоят дешевле школьного завтрака. I>>а эффект вообще нулевой
SK>Это делается не для (ожидаемого тобой) эффекта, а (для удовольствия) "потому что могу!".
могу что?
SK>>>Нельзя исключать и опечатки в адресе "цели". I>>для более крупного сайта вообще будет незаметно.
SK>1M pps дополнительных запросов положит большинство сайтов. другой вопрос что "денег на школьный завтрак" хватит минут на 10 такой атаки.
в том то и дело, что идет такая вялая атака несколько дней и ниаких миллионов не предвидится
мне просто статистику ломает в анализаторе логов, иначе я бы и не заметил
Здравствуйте, icezone, Вы писали:
SK>>>>Сутки такого развлечения стоят дешевле школьного завтрака. I>>>а эффект вообще нулевой
SK>>Это делается не для (ожидаемого тобой) эффекта, а (для удовольствия) "потому что могу!".
I>могу что?
я это делаю потому что могу сэкномить на школьном завтраке сумму, достаточную для ddos и рассказывать всем воображаемым друзьям что я хакер! (скоро стану им)
тот парень получает моральное удовольствие от этого невинного развлечения.
SK>>>>Нельзя исключать и опечатки в адресе "цели". I>>>для более крупного сайта вообще будет незаметно. SK>>1M pps дополнительных запросов положит большинство сайтов. другой вопрос что "денег на школьный завтрак" хватит минут на 10 такой атаки. I>в том то и дело, что идет такая вялая атака несколько дней и ниаких миллионов не предвидится I>мне просто статистику ломает в анализаторе логов, иначе я бы и не заметил
Возможно нейросетевой ботнет "убийца гугла", очередной, тренирует поиск.
А распределенные запросы — новая техника, использовать пользовательские устройства (смартфоны\планшеты\компы) как неблокируемый прокси.
