Добар дан! У чланку ћу вам рећи како корисници редовног хостинга могу ухватити ИП адресе које генеришу превелико оптерећење на сајту, а затим их блокирати помоћу алата за хостовање, биће „мало“ пхп кода, неколико снимака екрана.
Унос података:
- Веб сајт креиран на ЦМС ВордПресс-у
- Хостинг Бегет (ово није реклама, али снимци екрана администраторског панела ће бити од овог конкретног хостинг провајдера)
- ВордПресс сајт је покренут негде почетком 2000. године и има велики број чланака и материјала
- ПХП верзија 7.2
- ВП има најновију верзију
- Већ неко време, сајт је почео да генерише велико оптерећење на МиСКЛ-у према подацима о хостингу. Сваки дан је ова вредност прелазила 120% норме по рачуну
- Према Иандек. Метрицу сајт посети 100-200 људи дневно
Пре свега, ово је урађено:
- Табеле базе података су очишћене од нагомиланог смећа
- Непотребни додаци су онемогућени, делови застарелог кода су уклоњени
У исто време, желео бих да вам скренем пажњу на чињеницу да су испробане опције кеширања (додатци за кеширање), направљена су запажања - али оптерећење од 120% са једног сајта је било непромењено и могло је само да расте.
Како је изгледало приближно оптерећење хостинг база података
На врху је дотични сајт, одмах испод су други сајтови који имају исти цмс и приближно исти саобраћај, али стварају мање оптерећење.
Анализа
- Учињено је много покушаја са опцијама кеширања података, запажања су вршена током неколико недеља (на срећу, за то време хостинг ми никада није написао да сам тако лош и да ћу бити искључен)
- Извршена је анализа и претрага спорих упита, затим су структура базе података и тип табеле мало промењени
- За анализу смо првенствено користили уграђени АВСтатс (успут, помогао је да се израчуна најгора ИП адреса на основу обима саобраћаја
- Метрика – метрика пружа информације само о људима, не и о ботовима
- Било је покушаја да се користе додаци за ВП који могу да филтрирају и блокирају посетиоце чак и према земљи локације и разним комбинацијама
- Испоставило се да је потпуно радикалан начин затварање сајта на један дан уз напомену „Ми смо у одржавању“ - то је такође урађено помоћу познатог додатка. У овом случају очекујемо да оптерећење падне, али не на нулте вредности, пошто је ВП идеологија заснована на закачањима и додаци започињу своју активност када дође до „закачивања“, а пре него што се „закачи“ деси, захтеви ка бази података могу већ бити направљен
Идеја
- Израчунајте ИП адресе које упућују много захтева у кратком временском периоду.
- Забележите број посета сајту
- Блокирајте приступ сајту на основу броја посета
- Блокирајте помоћу уноса „Дени фром“ у датотеци .хтаццесс
- Нисам разматрао друге опције, као што су иптаблес и правила за Нгинк, јер пишем о хостингу
Појавила се идеја па је треба спровести, како без овога...
- Прављење табела за прикупљање података
CREATE TABLE `wp_visiters_bot` ( `id` INT(11) NOT NULL AUTO_INCREMENT, `ip` VARCHAR(300) NULL DEFAULT NULL, `browser` VARCHAR(500) NULL DEFAULT NULL, `cnt` INT(11) NULL DEFAULT NULL, `request` TEXT NULL, `input` TEXT NULL, `data_update` DATETIME NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP, PRIMARY KEY (`id`), UNIQUE INDEX `ip` (`ip`) ) COMMENT='Кандидаты для блокировки' COLLATE='utf8_general_ci' ENGINE=InnoDB AUTO_INCREMENT=1;CREATE TABLE `wp_visiters_bot_blocked` ( `id` INT(11) NOT NULL AUTO_INCREMENT, `ip` VARCHAR(300) NOT NULL, `data_update` DATETIME NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP, PRIMARY KEY (`id`), UNIQUE INDEX `ip` (`ip`) ) COMMENT='Список уже заблокированных' COLLATE='utf8_general_ci' ENGINE=InnoDB AUTO_INCREMENT=59;CREATE TABLE `wp_visiters_bot_history` ( `id` INT(11) NOT NULL AUTO_INCREMENT, `ip` VARCHAR(300) NULL DEFAULT NULL, `browser` VARCHAR(500) NULL DEFAULT NULL, `cnt` INT(11) NULL DEFAULT NULL, `data_update` DATETIME NULL DEFAULT CURRENT_TIMESTAMP ON UPDATE CURRENT_TIMESTAMP, `data_add` DATETIME NULL DEFAULT CURRENT_TIMESTAMP, PRIMARY KEY (`id`), UNIQUE INDEX `ip` (`ip`) ) COMMENT='История всех запросов для дебага' COLLATE='utf8_general_ci' ENGINE=InnoDB AUTO_INCREMENT=1; - Хајде да креирамо датотеку у коју ћемо поставити код. Код ће снимати у табеле кандидата за блокирање и чувати историју за отклањање грешака.
Код датотеке за снимање ИП адреса
<?php if (!defined('ABSPATH')) { return; } global $wpdb; /** * Вернёт конкретный IP адрес посетителя * @return boolean */ function coderun_get_user_ip() { $client_ip = ''; $address_headers = array( 'HTTP_CLIENT_IP', 'HTTP_X_FORWARDED_FOR', 'HTTP_X_FORWARDED', 'HTTP_X_CLUSTER_CLIENT_IP', 'HTTP_FORWARDED_FOR', 'HTTP_FORWARDED', 'REMOTE_ADDR', ); foreach ($address_headers as $header) { if (array_key_exists($header, $_SERVER)) { $address_chain = explode(',', $_SERVER[$header]); $client_ip = trim($address_chain[0]); break; } } if (!$client_ip) { return ''; } if ('0.0.0.0' === $client_ip || '::' === $client_ip || $client_ip == 'unknown') { return ''; } return $client_ip; } $ip = esc_sql(coderun_get_user_ip()); // IP адрес посетителя if (empty($ip)) {// Нет IP, ну и идите лесом... header('Content-type: application/json;'); die('Big big bolt....'); } $browser = esc_sql($_SERVER['HTTP_USER_AGENT']); //Данные для анализа браузера $request = esc_sql(wp_json_encode($_REQUEST)); //Последний запрос который был к сайту $input = esc_sql(file_get_contents('php://input')); //Тело запроса, если было $cnt = 1; //Запрос в основную таблицу с временными кондидатами на блокировку $query = <<<EOT INSERT INTO wp_visiters_bot (`ip`,`browser`,`cnt`,`request`,`input`) VALUES ('{$ip}','{$browser}','{$cnt}','{$request}','$input') ON DUPLICATE KEY UPDATE cnt=cnt+1,request=VALUES(request),input=VALUES(input),browser=VALUES(browser) EOT; //Запрос для истории $query2 = <<<EOT INSERT INTO wp_visiters_bot_history (`ip`,`browser`,`cnt`) VALUES ('{$ip}','{$browser}','{$cnt}') ON DUPLICATE KEY UPDATE cnt=cnt+1,browser=VALUES(browser) EOT; $wpdb->query($query); $wpdb->query($query2);Суштина кода је да добијете ИП адресу посетиоца и упишете је у табелу. Ако је ИП већ у табели, поље цнт ће бити повећано (број захтева ка сајту)
- Сад оно страшно... Сад ће ме спалити због мојих поступака :)
Да бисмо снимили сваки захтев на сајт, повезујемо код датотеке са главном ВордПресс датотеком - вп-лоад.пхп. Да, мењамо датотеку кернела и тачно након што глобална променљива $впдб већ постоји
Дакле, сада можемо да видимо колико често је ова или она ИП адреса означена у нашој табели и уз шољицу кафе погледамо тамо једном сваких 5 минута да бисмо разумели слику
Затим једноставно копирајте „штетну“ ИП адресу, отворите .хтаццесс датотеку и додајте је на крај датотеке
Order allow,deny
Allow from all
# start_auto_deny_list
Deny from 94.242.55.248
# end_auto_deny_list
То је то, сада 94.242.55.248 - нема приступ сајту и не генерише оптерећење базе података
Али сваки пут овако ручно копирање није баш исправан задатак, а осим тога, код је требало да буде аутономан
Хајде да додамо датотеку која ће се извршавати преко ЦРОН-а сваких 30 минута:
Код датотеке који мења .хтаццесс
<?php
/**
* Файл автоматического задания блокировок по IP адресу
* Должен запрашиваться через CRON
*/
if (empty($_REQUEST['key'])) {
die('Hello');
}
require('wp-load.php');
global $wpdb;
$limit_cnt = 70; //Лимит запросов по которым отбирать
$deny_table = $wpdb->get_results("SELECT * FROM wp_visiters_bot WHERE cnt>{$limit_cnt}");
$new_blocked = [];
$exclude_ip = [
'87.236.16.70'//адрес хостинга
];
foreach ($deny_table as $result) {
if (in_array($result->ip, $exclude_ip)) {
continue;
}
$wpdb->insert('wp_visiters_bot_blocked', ['ip' => $result->ip], ['%s']);
}
$deny_table_blocked = $wpdb->get_results("SELECT * FROM wp_visiters_bot_blocked");
foreach ($deny_table_blocked as $blocked) {
$new_blocked[] = $blocked->ip;
}
//Очистка таблицы
$wpdb->query("DELETE FROM wp_visiters_bot");
//echo '<pre>';print_r($new_blocked);echo '</pre>';
$file = '.htaccess';
$start_searche_tag = 'start_auto_deny_list';
$end_searche_tag = 'end_auto_deny_list';
$handle = @fopen($file, "r");
if ($handle) {
$replace_string = '';//Тест для вставки в файл .htaccess
$target_content = false; //Флаг нужного нам участка кода
while (($buffer = fgets($handle, 4096)) !== false) {
if (stripos($buffer, 'start_auto_deny_list') !== false) {
$target_content = true;
continue;
}
if (stripos($buffer, 'end_auto_deny_list') !== false) {
$target_content = false;
continue;
}
if ($target_content) {
$replace_string .= $buffer;
}
}
if (!feof($handle)) {
echo "Ошибка: fgets() неожиданно потерпел неудачуn";
}
fclose($handle);
}
//Текущий файл .htaccess
$content = file_get_contents($file);
$content = str_replace($replace_string, '', $content);
//Очищаем все блокировки в файле .htaccess
file_put_contents($file, $content);
//Запись новых блокировок
$str = "# {$start_searche_tag}" . PHP_EOL;
foreach ($new_blocked as $key => $value) {
$str .= "Deny from {$value}" . PHP_EOL;
}
file_put_contents($file, str_replace("# {$start_searche_tag}", $str, file_get_contents($file)));
Код фајла је прилично једноставан и примитиван и његова главна идеја је да узме кандидате за блокирање и унесе правила блокирања у .хтаццесс фајл између коментара
# старт_ауто_дени_лист и # енд_ауто_дени_лист
Сада су „штетне“ ИП адресе саме по себи блокиране, а .хтаццесс датотека изгледа отприлике овако:
# BEGIN WordPress
<IfModule mod_rewrite.c>
RewriteEngine On
RewriteBase /
RewriteRule ^index.php$ - [L]
RewriteCond %{REQUEST_FILENAME} !-f
RewriteCond %{REQUEST_FILENAME} !-d
RewriteRule . /index.php [L]
</IfModule>
# END WordPress
Order allow,deny
Allow from all
# start_auto_deny_list
Deny from 94.242.55.248
Deny from 207.46.13.122
Deny from 66.249.64.164
Deny from 54.209.162.70
Deny from 40.77.167.86
Deny from 54.146.43.69
Deny from 207.46.13.168
....... ниже другие адреса
# end_auto_deny_list
Као резултат тога, након што овај код почне да ради, можете видети резултат на панелу хостинга:
ПС: Материјал је ауторов, иако сам део објавио на свом сајту, добио сам проширену верзију на Хабреу.
Извор: ввв.хабр.цом