Питанки към модератори, администратори, "собственици"

[ddantgwyn]

Благодаря! Сега видях тази информация на главната страница на форума. Но "Байду" не я видях там. Може би отсъства временно.

3702 Гости, 16 Потребители (1221 Spiders)

Активни потребители през последните 1440 минути:
66, kаily, Banana Joe, Accipiter, Eisblock, Nor1, Bradatko, Bacho Кольо, керпеден, Giuseppe, peniko, Звездоброец, Дърт Вейдър, Imko1, buratinob, Shabaan_bin_Robert, Google (1219), Baidu (2)

Най-много за днес: 5028. Най-много онлайн: 18129 (Май 19, 2026, 02:08:46)

[lucho]

А, ясно. "Паякът" им в списъка на посетителите.

[ddantgwyn]

А, ясно. "Паякът" им в списъка на посетителите.

А ти обърни внимание на бройката паяци от гъл-гъл. Така, че не е чудно, че имаме рекорден петцифрен добив на посетители.

Между другото, от вчера някъде по това време, към мрежата, в която се намира форума, се провеждат DDOS атаки, които са причина за трудното му достъпване.

Да знаете.

[Butch]

Тази сутрин се свързах със сайта, едва когато избрах сървър (през VPN)от Румъния. Не знам какво значение има това. Последните 2 дни има проблеми.

[lucho]

Между другото, от вчера някъде по това време, към мрежата, в която се намира форума, се провеждат DDOS атаки, които са причина за трудното му достъпване.

Вчера и днес също имаше проблеми. Ти сигурен ли си, че това са атаки "DDoS"? По кой порт са? Ако са по порт 22, който установих, че ти е отворен, защо не преместиш достъпа по SSH на друг порт и да затвориш 22? А също да инсталираш SSHGuard, ако вече не си го направил, разбира се? Аз имах много атаки по порт 22 до степен да правят целия ми достъп до Интернет невъзможен, и след като преместих SSH-а на друг порт, те рязко намаляха.

[ddantgwyn]

Между другото, от вчера някъде по това време, към мрежата, в която се намира форума, се провеждат DDOS атаки, които са причина за трудното му достъпване.

Вчера и днес също имаше проблеми. Ти сигурен ли си, че това са атаки "DDoS"? По кой порт са? Ако са по порт 22, който установих, че ти е отворен, защо не преместиш достъпа по SSH на друг порт и да затвориш 22? А също да инсталираш SSHGuard, ако вече не си го направил, разбира се? Аз имах много атаки по порт 22 до степен да правят целия ми достъп до Интернет невъзможен, и след като преместих SSH-а на друг порт, те рязко намаляха.

Прочети пак, внимателно този път, какво съм написал.

Към машината има много закачени паяци, които изяждат „връзката“ към сървъра, но по порт 443.

Днес преди да рестартирам сървъра, бяха 256 на брой.

В момента са 69. Когато надхвърлят 100, започват проблемите с връзката. Няма как да влизам през час и да правя едно и също нещо.

[root@societe-chez-kerpeden ~]# systemctl status httpd.service | grep "host -W" | wc -l
69

Само за този месец, блокираните опити за връзване по SSH са над 400:

[root@societe-chez-kerpeden ~]# cat /var/log/denyhosts | grep "new denied hosts" | wc -l
489

SSH няма нищо общо с този проблем.

Може би е вече време да преместя форума на друга, по-подходяща машина, но нещо не намирам желание за това.

[lucho]

Значи тия "паяци" не са гугълски, а само имитират гугълския? Аз използвам "nginx" и нямам опит с "Apache", но тук препоръчват да се инсталира специален модул към Apache против DDoS – mod_evasive. Ти инсталирал ли си го?

П.П. Видях, че "mod_evasive" е за по-стара версия на Apache. Едно от най-новите и мощни решения за справяне с атаките е "crowdsec":

https://docs.crowdsec.net/u/getting_started/installation/linux/

[ddantgwyn]

Значи тия "паяци" не са гугълски, а само имитират гугълския? Аз използвам "nginx" и нямам опит с "Apache", но тук препоръчват да се инсталира специален модул към Apache против DDoS – mod_evasive. Ти инсталирал ли си го?

П.П. Видях, че "mod_evasive" е за по-стара версия на Apache. Едно от най-новите и мощни решения за справяне с атаките е "crowdsec":

https://docs.crowdsec.net/u/getting_started/installation/linux/

Лъчо, атаката беше срещу друг възел от мрежата, но това не попречи да се задръсти входният канал към мрежата до степен да не може да се използва цялата мрежа.

Не мисля, че точно срещу форума се провежда подобна атака, проблемът според мен е друг - възможно е единият модул памет да е предал богу дух и когато се появят повече потребители по едно и също време, машината да не може да се справи.

Благодаря за съвета, ще го погледна този модул по някое време.

[lucho]

Моля, дано да е полезен! Аз съм използвал "crowdsec" известно време, но после го махнах. Не мога да си спомня точно защо съм го махнал, но вероятно съм решил, че той за мен е като "с топ да биеш мухи".

По принцип паметта се използва от операционната система не "отдолу нагоре", а разхвърляно по цялото налично адресно пространство с "дупки" по средата поради непрекъснатото заемане и освобождаване на памет по време на работа на процесите. Да не говорим, че при виртуалната памет съответствието с физическата може да бъде най-причудливо. Така че ако има неизправен модул памет, най-вероятно машината въобще няма да тръгне или много скоро след тръгването ще забие или ще се рестартира. А в конзолата би трябвало да се появи "дъмп" от "паниката" на ядрото при неизправна памет. Все пак има начин да се тества по-голямата част от паметта така, както си е – с пакета "memtester", който прави тест на свободната памет. (При спрян Apache, естествено.)

[Nor1]

По принцип паметта се използва от операционната система не "отдолу нагоре", а разхвърляно по цялото налично адресно пространство с "дупки" по средата поради непрекъснатото заемане и освобождаване на памет по време на работа на процесите. Да не говорим, че при виртуалната памет съответствието с физическата може да бъде най-причудливо. Така че ако има неизправен модул памет, най-вероятно машината въобще няма да тръгне или много скоро след тръгването ще забие или ще се рестартира. А в конзолата би трябвало да се появи "дъмп" от "паниката" на ядрото при неизправна памет.

Все пак има начин да се тества по-голямата част от паметта така, както си е – с пакета "memtester", който прави тест на свободната памет. (При спрян Apache, естествено)

Дантгуин си е наясно с тези неща. А модули памет се тестват (при налична съвместима с тях тестова машина) другояче. Той и това го знае, бъди сигурен.

[lucho]

Не си ме разбрал или не съм обяснил добре. Нямам предвид тестване на модули памет, а на незаетата памет, както си е вътре в машината, без да се отваря дори, и то под управлението на вече инсталираната операционна система. В някои случаи, когато паметта е запоена на платката или е част от система върху чип, това е единственият начин, ако не е x86 или Apple.

[Nor1]

тестване на незаетата памет, както си е вътре в машината,
и то под управлението на вече инсталираната операционна система.

Силно се съмнявам в достоверността на такова тестване.

[ddantgwyn]

Сега се разрових из карантиите на машината и се оказва, че тя от самото начало е била само с 4 GB RAM - две плочки по 2 GB, което означава, че причина за проблемите е малкото памет, поради факта на нарасналия брой скрапери, събиращи данни за изкуствения интелект. Те са и причината за увеличеният на моменти брой паяци, показвани от форума.

Това засега е работната хипотеза за причината за забавянията в достъпа до форума.

Иначе ми е драго от факта, че този форум вече осма година се търкаля на една desktop машина, която преди това е била ползвана поне още 4-5 години като офис машина.

За любопитните - дъното е ASRock G31M-VS - Microsoft Windows® 7 / 7 64-bit / Vista™ / Vista™ 64-bit / XP / XP 64-bit / 2000 compliant

[ddantgwyn]

тестване на незаетата памет, както си е вътре в машината,
и то под управлението на вече инсталираната операционна система.

Силно се съмнявам в достоверността на такова тестване.

Лъчо има предвид memtest86, но за да го използвам, трябва да спра машината, да заредя от флаш памет програмата и да тествам.

Както и да е, оказа се, че няма повредена памет, а само недостатъчна такава за усложнените условия за ползване.

А, и ако продължаваме в този контекст, преместете дискусията в компютърната тема.

[Shabaan_bin_Robert]

Няма как да влизам през час и да правя едно и също нещо.

CRON

[ddantgwyn]

Няма как да влизам през час и да правя едно и също нещо.

CRON

cron е за неща, които трябва да се правят периодично. Задръстването на форума не е на равномерни интервали.

Но да, това е едно решение, макар и временно, съгласен съм. Ще стигна до него, ако и на новата машина пак го има този проблем.

[onzi]

малко късно се включвам, ама пробвал ли си да ограничиш броя на ботовете с mod_qos?

sudo apt install libapache2-mod-qos
sudo a2enmod qos

sudo nano /etc/apache2/mods-available/qos.conf

# 1. Identify Googlebot and set its connection limit to 20
SetEnvIfNoCase User-Agent "Googlebot" IS_GOOGLEBOT=1
QS_ClientCondVariableLimit IS_GOOGLEBOT 20

# 2. Identify Bingbot and set its connection limit to 10
SetEnvIfNoCase User-Agent "bingbot" IS_BINGBOT=1
QS_ClientCondVariableLimit IS_BINGBOT 10

sudo systemctl restart apache2

или съвсем да ги забраниш

Add the following to your general httpd.conf.

<Location />
   SetEnvIf User-Agent "msnbot" BlockUA
   SetEnvIf User-Agent "bingbot" BlockUA
   SetEnvIf User-Agent "Googlebot" BlockUA
   
   Order allow,deny
   Allow from all
   Deny from env=BlockUA
</Location>

[ddantgwyn]

малко късно се включвам, ама пробвал ли си да ограничиш броя на ботовете с mod_qos?

sudo apt install libapache2-mod-qos
sudo a2enmod qos

sudo nano /etc/apache2/mods-available/qos.conf

# 1. Identify Googlebot and set its connection limit to 20
SetEnvIfNoCase User-Agent "Googlebot" IS_GOOGLEBOT=1
QS_ClientCondVariableLimit IS_GOOGLEBOT 20

# 2. Identify Bingbot and set its connection limit to 10
SetEnvIfNoCase User-Agent "bingbot" IS_BINGBOT=1
QS_ClientCondVariableLimit IS_BINGBOT 10

sudo systemctl restart apache2

или съвсем да ги забраниш

Add the following to your general httpd.conf.

<Location />
   SetEnvIf User-Agent "msnbot" BlockUA
   SetEnvIf User-Agent "bingbot" BlockUA
   SetEnvIf User-Agent "Googlebot" BlockUA
   
   Order allow,deny
   Allow from all
   Deny from env=BlockUA
</Location>

Не съм, досега мислех, че проблемът е хардуерен.

Явно ще трябва да видя как ще мога да го инсталирам този модул, че и дистрибуцията остаря за тези 8 години

[lucho]

тестване на незаетата памет, както си е вътре в машината, и то под управлението на вече инсталираната операционна система.

Силно се съмнявам в достоверността на такова тестване.

Лъчо има предвид memtest86, но за да го използвам, трябва да спра машината, да заредя от флаш памет програмата и да тествам.

Не, имам предвид точно "memtester". По-лош вариант е, разбира се, от използването на "memtest86" или епълските тестове, но ако няма друга възможност (т.е. запоена или интегрирана памет, архитектура, различна от x86 и компютър, различен от Apple), само той остава. Между другото, казват, че този чешки тестер е по-добър от "memtest86". Аз съм го ползвал, доста отдавна беше, но авторът продължава да го обновява:

http://goldmemory.cz

Както и да е, оказа се, че няма повредена памет, а само недостатъчна такава за усложнените условия за ползване.

Много се радвам! Между другото, Core 2 Duo беше един от най-успешните процесори за времето си и още върши работа!

А, и ако продължаваме в този контекст, преместете дискусията в компютърната тема.

Коя точно тема имаш предвид?

[lucho]

Явно ще трябва да видя как ще мога да го инсталирам този модул, че и дистрибуцията остаря за тези 8 години

Ubuntu 18.04 LTS ли е там?

[ddantgwyn]

Явно ще трябва да видя как ще мога да го инсталирам този модул, че и дистрибуцията остаря за тези 8 години

Ubuntu 18.04 LTS ли е там?

Не

[Nor1]

Fedora/CentOS, предполагам 

[Shabaan_bin_Robert]

Съжалявам ако казвам познати неща, но за SSH - смяна на порт 22 с някой друг (един познат ползваше 23  ), забрана за влизане с user/pass и Fail2Ban.

P.S. Blacklist нa 0.0.0.0/0 в INPUT и разрешаване само на адресите от които влизаш.

[Дърт Вейдър]

Fedora/CentOS, предполагам 

За любопитните - дъното е ASRock G31M-VS - Microsoft Windows® 7 / 7 64-bit / Vista™ / Vista™ 64-bit / XP / XP 64-bit / 2000 compliant

Четене му е майката ...

[ddantgwyn]

Съжалявам ако казвам познати неща, но за SSH - смяна на порт 22 с някой друг (един познат ползваше 23  ), забрана за влизане с user/pass и Fail2Ban.

P.S. Blacklist нa 0.0.0.0/0 в INPUT и разрешаване само на адресите от които влизаш.

При мен е denyhosts, fail2ban е прекалено модерен :)

Той наказва след 3 неуспешни опита за връзка за срок от две седмици (май). fail2ban е по-ларж по отношение на наказанията.

Влиза се с ключ, а паролите са автоматично генерирани. Дали е забранено влизането с паарола - трябва да проверя, че отдавна го конфигурирах.

Така, че проблемът не е в неуспешните опити за връзка по ssh. За мен остава основна причина връзката по http.

Ето каква е ситуацията в момента:

[root@societe-chez-kerpeden ~]# systemctl status httpd.service | grep "host -W"       
           ├─ 1929 host -W 1 216.73.217.74
           ├─ 7385 host -W 1 216.73.217.74
           ├─10024 host -W 1 217.10.247.143
           ├─16011 host -W 1 66.78.6.39
           ├─22790 host -W 1 216.73.217.74
           ├─23309 host -W 1 216.73.217.74
           ├─23357 host -W 1 216.73.217.74
           ├─28818 host -W 1 216.73.217.74
           ├─28828 host -W 1 216.73.217.74
           ├─28964 host -W 1 216.73.217.74
           ├─28971 host -W 1 216.73.217.74
           ├─29192 host -W 1 216.73.217.74
           ├─29206 host -W 1 216.73.217.74
           ├─32044 host -W 1 216.73.217.74

Ей такива посетители като 216.73.217.74 са проблем според мен. От 14 връзки в момета, 12 са от този възел.

Доскоро го нямаше този проблем, явно ще трябва да се мисли и за него след прехвърлянето на форума.

[Дърт Вейдър]

fail2ban е по-ларж по отношение на наказанията

тц... ларж е до толкова колкото е ларж админ-а (щото е френдли откъмто настройки и застройки)

[lucho]

Fedora/CentOS, предполагам 

За любопитните - дъното е ASRock G31M-VS - Microsoft Windows® 7 / 7 64-bit / Vista™ / Vista™ 64-bit / XP / XP 64-bit / 2000 compliant

Четене му е майката ...

Това по-горе е информация за съвместимостта на дънната платка. Но той е инсталирал Линукс. Познава се по командата "systemctl".

[lucho]

Явно ще трябва да видя как ще мога да го инсталирам този модул, че и дистрибуцията остаря за тези 8 години

Ubuntu 18.04 LTS ли е там?

Не

Предавам се. Ако трябва да ги изреждаме всичките, които са излезли през 2018 година, ще загубим ужасно много време.

[Nor1]

Fedora/CentOS, предполагам

дъното е ASRock G31M-VS
MS Windows® 7 / 7 64-bit / Vista™ / Vista™ 64-bit / XP / XP 64-bit / 2000 compliant

Четене му е майката ...

Затуй си на тоз хал, щото скачаш когато не трябва 

[ddantgwyn]

fail2ban е по-ларж по отношение на наказанията

тц... ларж е до толкова колкото е ларж админ-а (щото е френдли откъмто настройки и застройки)

Тц, by default си е ларж, та се налага сисаддмина да се прави на строг и справедлив

Това винаги ми е правило впечатление - тази разлика в подхода на denyhosts и fail2ban.

[ddantgwyn]

Fedora/CentOS, предполагам 

Fedora - не :)

CentOS - може, не възразявам :)

Но няма значение каква точно е дистрибуцията, по-важно е, че хранилищата ги няма вече

[ddantgwyn]

Fedora/CentOS, предполагам 

За любопитните - дъното е ASRock G31M-VS - Microsoft Windows® 7 / 7 64-bit / Vista™ / Vista™ 64-bit / XP / XP 64-bit / 2000 compliant

Четене му е майката ...

Това по-горе е информация за съвместимостта на дънната платка. Но той е инсталирал Линукс. Познава се по командата "systemctl".

Да не се окаже, че микромеките тихомълком са започнали да ползват и systemd, нали взеха Ленарт Пьотеринг при тях

[Nor1]

Мини на Арч (или негово производно) и ще си винаги като нов