Превышение нагрузки на сервер (хостинг ukraine.com.ua, adm.tools) – Как искать причины?

Автор: | 26.03.2020

25 марта пришел мне тревожный емейл от хостинга: «Уведомляем Вас о превышении допустимой нагрузки на сервер аккаунтом b***k. Согласно условиям предоставления услуг (п. 5.2), допускается использование в сутки не более 100 процессорных минут на web и mysql сервере. За последние сутки использовано: на web сервере — 205 процессорных минут».

Зашла я в админку хостинга https://www.ukraine.com.ua/, и увидела там аналогичное обращение:

Во-первых, чтобы исключить вирусы на сайтах, зашла в меню «Хостинг — Антивирус», нажала «Выполнить проверку файлов аккаунта». Результат: «Зараженные файлы не обнаружены»:

На всякий случай проверила в меню «Хостинг – Защита от DDOS», хостинг пишет: «На сайты вашего аккаунта DDOS атаки не зафиксированы»: 
Итак, нужно вычислить сайт, который создает аномальную нагрузку. Для этого заходим в левое меню «Хостинг – Нагрузка на web сервер»: 

Затем по каждому из сайтов нажимаем «перейти», и для каждого сайта будет открываться в новом окне аналитика с тремя замечательными графиками: «Количество запросов на веб-сервер за последние 14 дней», «Количество запросов на веб-сервер за последние сутки», «Использование процессорного времени, проц.минут».
Именно тот сайт, где наблюдаются резкие скачки на графиках, и есть виновник превышения: 
Также зашла в левое меню «MYSQL – Нагрузка на MySQL сервер», чтобы увидеть нагрузку на БД: 
Чтобы увидеть нагрузку по каждому из mysql-пользователей, кликнула напротив каждого «графики», и вот какие скачки увидела по виновнику: Похоже, это была внешняя атака на сайт, она длилась много часов и закончилась около 18:00 24 марта.

Посмотрим, с каких айпи она сделана. Для этого заходим «Хостинг – Мои сайты», выбираем сайт-виновник, жмем «Настройка сайта», а внутри настроек «Нагрузка по IP». Видим верхние три айпи – это явные инициаторы атаки:
На всякий случай зашла в «Ограничение доступа» и запретила доступ с этих трех айпишников: Чтобы понять, в чем суть атаки, я тут же зашла в «Логи сервера», выбрала дату-время, когда точно была атака. И увидела, к какой странице были обращения:

Это все обращения к странице с контактной формой. Нехорошие люди сделали через нее мощную спам-рассылку, пользуясь флажком «Отправить мне копию».

Связалась с клиентом, чей емейл подвязан к контактной форме, и спросила, много ли пришло вчера обращений с сайта. Он сказал, что море спама. Посмотрела несколько емейлов, все они вели на страницу с рекламой онлайн-казино. Как Вы понимаете, эти письма шли с сайта не только этому клиенту, но и по всей базе емейлов злоумышленников. Только на каждый чужой емейл ушло только одно письмо.

В результате я переделала контактную форму на сайте. Подобные атаки больше не повторятся.

Это был мой путь анализа, и возможно, он не идеален. Надеюсь, эта статья кому-то пригодится для его поиска причин превышения нагрузки на сервер.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *