Pull to refresh
39
0
Send message

Меня эта вся суета пугает не только тем, что накроются всяческие автопродления и т.п., но и тем, что может последовать дальше. Всех пересчитают, сведут воедино, после чего начнут мазать горчицей дальше... Сертификаты обяжут государственные ставить. Счетчики, да что угодно... Штрафы за неисполнение прямо в госуслуги и будут прилетать.

Добавлю причины, которые побудили меня отказаться от CloudFlare:
1. Часть их адресов забанены (были?) в Роскомнадзоре.
2. У меня через прослойку в виде CF сайты работали медленнее, чем напрямую. Причем достаточно заметно, если смотреть на график сканирования в Google Search Console.
Мне хватило и первой причины. Один из сайтов попал под санкции за соседство с каким-то забаненным другим сайтом. Даже небольшая вероятность повторения меня не устраивает.
Для тех, кто хочет поностальгировать или попугать старперов:
Установка Win98 (Enter вызывает BSOD)
Обновления Win7 (Enter вызывает BSOD)
подсказка — в Chrome клавиша F11 разворачивает окно браузера на весь экран.

Про SMS я писал в статье, посмотрите внимательнее…
Но я говорил о страницах с чувствительной информацией… Тут, как я понимаю, ее нет?
Я специально снял видео, чтобы было видно, что доступ есть. Судя по тому, что собралась вся тройка, «как правило» уже не правило. У МТС на видео, кстати, iframe. Нюанс в том, что в этом iframe тоже скрипт аналитики :)
На видео, если что, Linux Fedora 26, браузер dwb. :) Хромого открывал только чтобы показать наличие скриптов. Что касается метрик, то суть не в их коде, а в том, что им дозволено слишком многое и без всякой подмены чего-либо вообще.
Я, как уже говорил, дал время на исправление до публикации этой статьи. Мало ли… Еще на прошлой неделе были.
Теперь эти видео могут использоваться для наглядного конкретного примера. Ресурсов с чужими скриптами еще много. В том числе не только у нас.
Если совсем чуть-чуть… Не заводить же под каждый платеж отдельную…
Вариантов море, понятно. Только добавлять еще один ни к чему. И, да, если менять сайт целиком, надо обладать информацией, что именно он должен отображать, это не так просто. Снимать все с прокси тоже можно, только в этом случае мало возможностей интерактивно что-то менять в зависимости от ввода пользователя, например. Но я предлагаю не уходить в сторону, речь идет о том, что этот доступ дарят тем, чьи скрипты внедряют.
Да, вы так делаете, я так делаю… Если думаете, что в кабинетах банков такой радости нигде нет, то глубоко заблуждаетесь. И есть масса народу, кто пойдет платить на сайт того, кому собирается платить, благо, такую возможность предоставляют. Кроме того, личный кабинет опсоса для изменения опций, например, можно обойти только ногами во многих случаях…
Да, они тоже могут делать очень многое, причем, нередки бывали случаи выкупа злодеями расширений у автора, с последующей заменой функционала. Но, в отличие от личных кабинетов, у нас есть выбор, ставить баннерорезки или нет.
Если присмотритесь, то, например, у Билайна там ворох совсем не гуглояндексов…
Что касается заражения роутеров, то администратору домена, например, вообще ничего заражать не надо. Как и владельцу интернет-кафе.
База обновляется и добавляется по нескольку тысяч штрихкодов в день, а несерьезного профита мне хватает для альтруизма. Да и в тему, интересен ресурс и возможное его применение. 1Сники вовсю используют.
Они еще и не точечно страницы забирали, а перебирали все подряд, брутфорсом.
А если ботов 100к, как в моем случае? 100к*60=6 000 000 rpm. Уже несколько обиднее, не так ли? :)
Благодарю, однако для меня CSF избыточен, но я еще более внимательно его изучу. При желании можно лимитировать количество подключений и в nginx, а журнал ошибок с этими подключениями парсить fail2ban. Однако, как выяснилось, под такие лимиты чаще попадают корпоративные непрозрачные прокси, а вот тот DDoS, кстати, множественными подключениями с одного адреса не страдал. Просто куча IP ломилась кучей последовательных запросов.
Даже не забитом канале, а перегруженном запросами сервере (CPU/IO)
Вы просто невнимательно прочитали описание ситуации. С одним IP вообще бы проблем не было. Этих IP были тысячи, с разных сторон планеты, я их банил целыми сегментами, до седьмого пота. Преимущество ipset в этом функционале уже ни для кого не секрет, кто пробовал. Абсолютно никакого загонного синтаксиса, просто удобно держать список адресов отдельной сущностью, которая еще и в разы быстрее работает, чем куча правил. Приведу пример

ipset create badip iphash
iptables -t mangle -A PREROUTING -i $INET -m state --state NEW -p tcp -m set --match-set badip src -j DROP
ipset -A badip $REMOTE_HOST

первая строка создает список, вторая говорит столам, что надо с этим списком делать, третья — добавляет в список какой-нибудь адрес. Все! Собственно, для пополнения списка на дроп, нужно всего лишь повторять последнюю строку необходимое количество раз.

Большое количество подключений к сайту, от чего сайт начинает тормозить и накрываться медным тазом, называется DDoS. И, как мне кажется, это не очень законное деяние.
Для тех, кому очень не нравятся симпатичные баннеры в терпимом количестве, есть API с JSON.
А так — надо же как-то сервер кормить и апгрейдить…

Information

Rating
Does not participate
Registered
Activity