Недавно один из сайтов, над которыми я работаю, начал замечать странный трафик по URL-адресам, которых не существует и никогда не было.
Страницы вроде:
Фактически, пока существует более 300 различных URL-адресов ... ни один из которых даже не похож ни на что, что когда-либо было на сайте.
Естественно, все они перенаправляются на нашу страницу 404, которая является измененной версией нашей карты сайта. Проблема в том, что мы видим тысячи таких 404 в день, и я боюсь, что их число может вырасти. Более того, я просмотрел журналы серверов и не нашел общих IP-адресов для всего этого трафика.
Итак, моя первая идея - урезать и упростить страницу 404. Это первый шаг для минимизации нагрузки на сервер и уменьшения пропускной способности.
Я также убежден, что этот трафик исходит либо от ботов, либо от какого-то вредоносного ПО, либо от совершенно незаинтересованных пользователей, потому что я следил за сеансами с помощью пары инструментов, которые мы используем, и они никогда не используют сайт после попадания на страницу 404.
Итак, что еще я могу сделать, чтобы лучше определять эти модели трафика? Было бы хорошо, если бы я смог разобраться в этом.
Если у вас достаточно общего знаменателя (например, / impression / * и / bnnrs1002 / *), вы можете установить модуль перезаписи для отправки этих запросов в другое место. Скажем, например, для очень минимальной настраиваемой страницы ошибок или какой-либо другой страницы «Bugger Off». Это поможет сэкономить пропускную способность, пока вы пытаетесь установить что-то более надежное.
Часто можно увидеть такие "зондирование"где кто-то угадывает, существуют ли определенные каталоги. Это своего рода профилирование где наличие определенных страниц указывает на то, что определенное программное обеспечение установлено на сервере, или что определенные имена пользователей, вероятно, существуют на сервере, и может быть предвестником других видов взлома.
У меня есть несколько веб-сайтов, и все они видят подобные запросы почти ежедневно.
Тот факт, что они поступают с разных IP-адресов, может указывать на то, что зондирование проводится через ботнет, особенно если существует определенная закономерность зондирования по различным IP-адресам.
Вы ничего не можете сделать, чтобы остановить это; однако вы определенно можете минимизировать воздействие на вашу систему, обслуживая очень простая страница 404. Это также может быть напоминанием о том, что все ваше программное обеспечение обновлено и обновлено, а у вас есть надежные пароли на всех серверах, подключенных к Интернету.
Что ж, если они действительно бьют вас только один раз для каждого IP-адреса для всех разных страниц, тогда вы действительно ничего не можете сделать, кроме как обрезать страницу 404 ... Или вы можете просто перенаправить их на главную страницу и объявить это как просмотр страницы ...;)