ладно, если никто не в курсе, то гадать нет смысла.

Мы не сонник.ру, откуда кто знает. Можно возвращать 444 всем реферрерам с сонником на время атаки

ты говорил что из-за памяти ж. ну так сьэкономь - возьми готовый сбилженный

то есть ты думаешь лучше взять образ этого человека?

меня 20 тыщ не напрягает никак, но просто интересно в чем дело

https://en.m.wikipedia.org/wiki/Referer_spoofing Мог быть просто обычный ддос, реферер взят из головы

особенно интересно, как на сайте xsp.ru (или как-то так) появились мои рефереры

Кто то пытается Вас подставить возможно, дискредетировать

то есть ты думаешь лучше взять образ этого человека?

Ну это автобилд, так что вполне можно посмотреть что и как он билдит

то есть получается, что по нету ходит толпа народу с подставными реферерами

Еще вариант - просто взять один раз сбилженный бинарь и использовать его без пересборки

кто их водит?

Не толпа, а ддосер, иммитируя данные. Может это тест его возможностей

ипшниуи разные

и вполне легальные

то есть не с проксей каких-нибудь

и вполне легальные

Как это было определено?

Зомби машины всегда выглядят легально

Еще вариант - просто взять один раз сбилженный бинарь и использовать его без пересборки

где бы его найти

ну я посмотрел выборку некоторую

где бы его найти

в контейнере который я тебе только что скинул

ну в смысле вирусня это работала?

наверно самый подходящая версия

в контейнере который я тебе только что скинул

ты предлагаешь развернуть этот контейнер рядом, и копирнуть бинарник?

так как там еще по времени периодичность прослеживалась с интервалами

Ну а почему нет?

я до этого не додумался

Может и вирусня, самые большие ддос-сети это зомби-сети пользователей и взломанные сервера

как это можно сделать?

--entrypoint sh ?

это очень хорошая идея так-то

ну так я зайду в контейнер

как мне его на хостовую машину скопировать?

а, омг, да docker cp

но опять же вирусня такая, что даже в топмайл ру посчиталась

ого

то есть ходил нормальный браузер, джаваскрипт запускал, время на странице показал 2-3 секунды

но опять же вирусня такая, что даже в топмайл ру посчиталась

Реферер можно иммитировать

имититовать когда?

как мне его на хостовую машину скопировать?

а у нас тут уже банят за вопросы с первой страницы гугла или еще нет?

а у нас тут уже банят за вопросы с первой страницы гугла или еще нет?

НЕ ОБЕССУДЬ БРАТ

а у нас тут уже банят за вопросы с первой страницы гугла или еще нет?

Нет, вроде 3 предупреждения

Потом бан

srsly? а кто их считает?

--entrypoint sh ?

ты оказался прав

спасибо большое

Тот кто потом забанит

надо было сразу бинарник копировать

Я похож на ебанутого, кто будет помнить все ключи, для всех unix утилит

ну все-не все, но большинство можно

Я выбрал инфлюкс для метрик, думал логи в него же лить для однообразия.

Инфлюкс очень странный.

имититовать когда?

на момент отправки просто кладёшь любой сайт в реферер перед открытием соединения рефереры и useragent спуфятся специально, чтобы владелец сайта думал, что это чистый трафик, и чтобы обойти все фильтры, поскольку между такими запросами не будет закономерности или схожих паттернов либо кто-то на вас тестит свой бот-нет, либо вас кто-то, типа, заказал

у браузера нет интерфейса "открыть соединение"

если это ботнет, причём здесь браузер

нагуглил тут что на phantom.js делают

потому что страница отрабатывала в браузуре

почему вы в этом уверены?

по ней статистика счаталася разными яндексметриками

аналитисками и т.п.

более-менее одинаково

яндекс метрика ловит useragent и интерпретирует его

она может это делать не лучше, чем лог вашего вебсервера

чтобы она сработала, клиент должен js со страницы вгрузить и запустить

значит бот интерпретирует js, сейчас все пауки и боты интерпретируют js, not a big deal

то есть клиент кроме загрузки страницы как минимум запускал на ней жсы

да, но это не доказывает, что это живой человек

в чём суть вопроса то? что остаётся не ясным и с чем нужна помощь?

суть, в том, что это было?

ботнет, спуфящий useragent и referer, а также интерпретирующий js

хотдящий по разным сайтам и выполняющий на них джаваскрипты?

ERROR: S client not available

почему по разным? на ваш ходящий

тоже интересный вопрос - кому бы это надо было?

как минимум еще на один

мы не знаем, отталкивайтесь от специфики своего бизнеса и от того, кому могли помешать

но на тот трафика раз в 5 меньше ушло

джа мне они вообще никак не помешали

Скайнет учится

если бы там 200 тыщ было, я бы заметил может быть

если оба под вашим управлением, значит их что-то связывает и это можно найти в сети, например общие IP фронтэндов или регистраторы доменов или общие данные WHOIS доменов

я ж сайты не на пхп пишу :)

значит это прицельная атака

второнй не мой

но на сонник чем-то похож по тематике

такой же лажовый

что связывает ваш сайт с сайтом знакомого, и почему есть уверенность, что у знакомого 100% тоже самое?

вообще оффтопик какой-то совсем не девопсерский

графики статистики очень походят

чтобы разрядить обстановку: заббикс говно

а девопсы сайтами не занимаются?

какбы девопс это ведь не тупой сисадмин?

девопсы занимаются не только сайтами, а последние 15 минут здесь посвящено только им =)

графики статистики очень походят

ничего не доказывает

здесь последние пол часа люди файл пытаются скопировать, да

это я видел.

девопсы, чо с них взять. как морские свинки )

куда долбились эти боты? на корневую страницу? просто закешируйте её всю для гостей и забудьте об этом

если на совсем разных хостах одинаково нехарактерно изменился паттерн ?

у меня динамическая страница.

делайте выдачу динамической страницы кешируемой с TTL 5 секунд

Давайте я лучше накину. Как вам lsyncd в качестве распределенной фс?

да я еще раз говорю - никакой проблемы не было, просто непонятное явление и хотелось бы разобраться

на тупых ботов, которые ддосят по GET /