Приветствую вас, уважаемые наши читатели!
В этой статье хочу рассказать вам о происшествии, которое случилось в конце сентября месяца. Данная статья будет нести больше новостной характер, местами поучительный, а местами даже развлекательный, ибо у нас это в итоге не вызвало ничего, кроме улыбок на лице и мыслей «Значит мы все делаем как надо 
».
Итак, что же собственно произошло? А то, что блог first-billion.com подвергся атаке. О предполагаемых нами причинах, самом процессе и мерах, которые мы приняли, мы и поговорим в этой статье.
Защита от атак – что делать, если сайт атакуют?
Начну историю с самого начала. Это был вечер 24-го сентября. Сидел я, значит, и анализировал наши результаты в Элеврусе, строил планы по дальнейшему продвижению и, как говорится, ничего не предвещало беды. Как получаю в личку вк сообщение от Юры следующего текста: «ЧТО У НАС ТВОРИТСЯ С ПОСЕЩАЕМОСТЬЮ???». Да, именно заглавными буквами!
Я смотрю Яндекс.Метрику и вижу следующую картину (все картинки масштабируются при нажатии):
1402 посетителя за 24-е число, при том, что тогда наша посещаемость была в районе 250-300 человек в сутки (днем ранее она составляла 228 человек). Для более понятного представления произошедшего, покажу вам почасовую статистику конкретно 24-го сентября:
Большая часть графика близка к нулю, но если быть точным, то примерные значения там – 8-10 человек. Это говорит о том, что там каждый час нас посещало именно столько людей. И в отметке 22:00 этот показатель резко поднимается до 1093. Еще большее представление происходящего покажет поминутная статистика этого дня:
Как видно, в 22:11 нам привалило сразу 53 посетителя, а потом каждую минуту еще по 40-50 в течение 20-ти минут. И все бы ничего, но вот вам поминутная статистика отказов в этот же день:
Тут стоит объяснить. Постоянные скачки от 0% до 100% при поминутной статистике неизбежны, так как за одну минуту (конечно при посещаемости 250 чел/сут.) может зайти от 0 до 2 человек, причем часто это 0, редко 1, очень редко 2. Эта статистика работает тем образом, что если за минуту никто не зашел или зашли и остались, график показывает 0%, если зашел 1 и сразу ушел – 100%, если зашли 2 и ушел 1 – 50%, ушли оба – 100%.
Особо не вникайте в это, если вы ничего не поняли из предыдущего абзаца. Суть в моем графике отказов находится в правой его части, то есть в промежутке, когда посещаемость резко возросла. Здесь этот график более плотный, но интересно то, что он не показывает стабильные 100%, а в среднем находится в колебаниях от 20% до 40%. Позже я вам объясню наиболее вероятную причину этих показателей, а пока продолжим историю.
Как видите на графиках, атака немного утихла, но если посмотреть на график следующего дня, увидим вот что:
То есть спустя пару часов картина повторилась, и нам снова вывалились 50-60 посетителей каждую минуту на протяжении опять же следующих 20-ти минут. В отказах увидим следующее:
Снова странные колебания отказов в тот самый промежуток. Это то, что показывала метрика. Еще я бы мог показать вам статистику LiveInternet, но, к сожалению, данные по каждому дню у них хранятся всего месяц и статистика тех дней пропала 2 недели назад. Хотя, я просто могу сказать вам так: посещаемость в эти дни была 1400 и 1900 человек соответственно, а показатели средней длительности нахождения на сайте были к близки к полным нулям.
Но лишь это то, что показывала статистика, которую я просмотрел, но проанализировал уже после того, как все утихло. Во время же самих атак сайт стал не доступен. По-видимому, такое резкое увеличение нагрузки повлияло на сервера, поэтому в течение 10-15 минут сайт просто не открывался, а после прогружался очень долго.
Конечно, сначала мы взволновались. Я написал в техподдержку хостинга и те подтвердили факт атаки GET-запросами. На вопрос о том, что они бы посоветовали для защиты, порекомендовали сервис CloudFlare.
Во время моего изучения работы этого сервиса Юра тоже время не терял. В нескольких тематических топиках и сообществах он подробно описал ситуацию, на что получил однозначный хоровой ответ «Тебе крутят ПФ, забей, сами отстанут». Письмо в поддержку Яндекса так же принесло ответ со следующим успокаивающим содержанием: «Если ваш сайт не нарушает наших правил и создан для людей, то вам не о чем волноваться, наши алгоритмы вполне способны отличить реально плохие ПФ от атаки с накруткой».
Ну что ж, мы были убеждены достаточно, чтобы расслабиться, не предпринимать резких движений (смена хостинга, подключение дорогих сервисов защиты и прочее), а трезвым и холодным умом проанализировать произошедшее.
Начнем с наиболее вероятных причин. Статистика переходов на страницы нашего блога была следующая:
Как видно, под удар попали статья о курсе доллара, а также главная страница. И вот здесь нам все стало ясно. Дело в том, что тогда эта статья после нашей хорошей доработки вышла в топ выдачи Яндекса. Запрос, как вы сами понимаете, довольно сладкий, а потому ребята, которых мы вознамерились потеснить в топе, долго не дремали и устроили нам накрутку 
Больше причин гасить нас и конкретно эту статью нам в голову не пришло.
Теперь о результатах этого «мероприятия».
Во-первых, как я уже говорил, атаковали всего 2 раза, на большее видимо не хватило сил 
Во-вторых, что касается странных показателей отказов – они колебались от 40% до 50%, хотя в моем понимании если уж крутить ПФ, то до постоянных 100% в течение длительного времени. Выданные же показатели говорят о довольно дилетанстком подходе к накрутке.
Ну и в-третьих, как видите, прошло уже полтора месяца, а наш блог только развивается и почти достиг той посещаемости, которая была при накруте, но честным путем и с хорошими ПФ.
Поэтому друзья, если вам крутят ПФ, это означает только одно – вы кому то мешаете и тесните, а значит, все делаете правильно! Поэтому если вдруг у вас появятся такие графики, как я вам показал на примере наших – улыбнитесь, вы на правильном пути!
Ну а на этом у меня все. Как я вам и сказал, статья несет более новостной характер и лишь подчеркивает успешность нашего блога. А как я уже говорил, говорю, и говорить не устану – блог не имел бы смысла, если бы не было вас, дорогие наши читатели! Мы рады, что вы с нами!
Удачи вам, успехов и не бойтесь накрутчиков! Пусть лучше в головах своих чето подкрутят
C уважением, Александр Попов.
(7 голосов, в среднем: 4,86 из 5)
Понравилась статья? Поделись с друзьями!
Волнения естественны, но думаю это не так страшно, ведь сайт не взломан, пароли не украдены, все на месте )))
А я бы, наверно, даже не обратил на это внимание, статистикой блога интересовался (и своим, и вашим), но не так чтоб просматривать каждый день.
Что касаемо по поводу накрутки, хорошо, что перестали. Самое главное, чтоб еще какую гадость не сделали.
Ответить
Практика показывает, что затраты на подобную атаку гораздо выше, чем результат. Не знаю, на что они надеялись и чего хотели, видимо попугать решили
Хорошо, что мы не из пугливых 
Ответить
Ну раз проверили, что накрутка не повредит блогу, предупредили, то и переживать нечего. )
Если плюют в спину- значит ты впереди!
Ответить
Какая понимаю, всегда при таких атаках нужно сообщить Яндекса для успокоения!
Интересно сколько нужно таких атак, чтобы навредить блогу например?
Ответить
Не навредить вообще) Есть способ как можно навредить, но он будет стоить дороже чем создать новый ресурс) Бессмысленная затея)
Ответить
Радует, что поисковые системы имеют защитные алгоритмы и не закрывают глаза на подобное. В жизни попробуй вызвать полицию — приедут через день и вообще докажут тебе, что это ты сам себя ограбил
Ответить
Я довольно часто захожу на сайт. И обращаю внимание на виджет «Яндекс.Метрика» Я что-то не припоминаю, чтобы он достигал таких высот. Или это отображается только у вас в личном кабинете? Просто ничего необычного я не замечала
Ответить
Инна, вся статистика по кол-ву посещаемости изображена на счетчике, да, сейчас посещаемость выше 1000 человек в сутки)
Ответить
Я имею ввиду, что я не замечала такого большого скачка в сентябре
Ответить
Видимо потому что он был всего 2 дня, но все же был
Ответить
А я кстати заметил! Блог действительно был недоступен какое-то время, я это списал на технические работы, а оно вот в чем дело...
Ответить
МДА, и такое получается имеет место в конкурентной среде блогинга. А выявить представляться возможным таких деятелей невидимого фронта?)) Получается надо предупреждать ПС, чтобы они были в курсе таких действий
Ответить
Что мы собственно и сделали
Выявить довольно сложно, да и смысл? Больше времени и сил потратим только для удовлетворения любопытства или духа справедливости.
Пусть побалуются детки, пока мамы спать не погонят
Ответить
Александр, я бы немного с опаской отнесся к таки нападкам со с стороны.
У таких фантазия богатая.
Кстати, что могут еще сделать кроме нагона трафика и взлома сайта?
Ответить
Как я уже писал в статье о защите блога, реальную угрозу представляют только единицы таких «нападчиков». Как правило, работают они на заказ, а услуги их весьма дорогостоящие. Поэтому к ним обращаются только в крайних случаях. Так что если никого не злить и честно развивать свой ресурс, то беспокоиться не о чем.
Что касается других методов, то таких немало
Могут блокировать связь с DNS-сервером, и тогда сайт будет выдавать ошибку 502; могут сделать DDOS-атаку, тогда сайт тоже будет недоступен и также будут лететь посетители; могут даже как-то удалить домен, но это самый сложный вариант, так как нужно взламывать не сам сайт, а доменную базу, в которой он находится (похожим образом можно заблокировать файлы на хостинге).
Но уверяю, это только теория. На практике эти методы довольно затратны. От всех остальных дилетантских методов на хостинге и в алгоритмах ПС уже стоит защита, так что волноваться не о чем.
Ответить
Как видно, способов насолить хватает
Защита своего ресурса — явно не последнее, о чем стоит задуматься.
Ответить
В общем ушли не солоно хлебавши, дав извлечь вам полезный урок от своих продуманных действий.
Интересно такие товарищи чем руководствуются, наверно желанием насолить и получить удовлетворение от своих козней!
Ответить
И такие есть, и нам подобного поведения не понять, как ни старайтесь
Ответить
Пожалуй, вы правы, вот что делают издержки познания в таком не совсем хорошем деле!
Ответить
Насколько я поняла, это не только хостинг должен защищать ваш сайт, а еще и вы сами, верно?
Ответить
У хостинга много сайтов, за всеми уследить сложно, так что в основном действует правило спасения утопающих.
При подобной ситуации хостеры могут предоставить информацию о случившемся и порекомендовать меры защиты, однако приобретать и подключать эти меры в большинстве случаев приходится самостоятельно.
Ответить
Если ваш сайт атакуют, то страдает и хостинг? или только сайт, который атакуют?
Ответить
Хостинг страдает незначительно. У них мер защиты хватает, и чтобы они заметили последствия какой то атаки, то нужна либо массовая атака на их сайты, либо атака на сам хостинг, а это очень затратно и зачастую нужно тем, кто это делает, только «ради прикола»
Ответить
Хороший должен быть повод для прикола, чтобы положить хостинг
Разве что спор двух пьяных анонимусов 
Больше в голову не приходит ситуация, в которой кто-то захочет и СМОЖЕТ положить хостинг 
Ответить
Я думаю, у анонимусов есть дела поважнее, чем валить блогеров. Я о них наслышана. крутые ребята. Наверняка им не составит труда положить не то что блог, а весь хостинг!
Ответить
Но я то говорю о ПЬЯНЫХ анонимусах
Смекаете? 
Ответить
Ответить
Ответить
Ох уж эти конкуренты
Как говорится, не могу победить, хоть насолю 
Спасибо за статью, очень хороший пример того, как нужно анализировать статистические данные Метрики. Многим блоггерам на заметку.
Ответить
Лучше бы развивались как техническом плане, так и в свободном направлении. Но ход достаточно тонкий, правда не совсем прицельный. Потратились бы на дизайн что ли , и то хоть какая то польза была в свой бюджет!
Ответить
Кому развиваться, а кому людям гадости делать
Первых без вторых не бывает, да и первые скорее рады, что у них конкуренты дурью маются, а не серьезными вещами конкурируют 
Ответить
И то правда! Сказал отец сыну когда тот под стол ходил, мне показалось что тогда ты маялся дурью, а оказалось что я ошибался. Повзрослевший сын понял, что отец уступает ему дорогу к улучшению благосостояния семьи. Важна какая была опора и и какое дано слово, что в совокупности и есть смысл в твоей жизни!
Ответить
Около года назад у меня случилось подобное, разница лишь в том что моя посещаемость было 500-700 человек, а в тот день превысила 5+, да я соглашусь что ожидали мы 2+ из за проведения финала розыгрыша на нашем сайте. Но вышло все очень печально, в два часа мы уже грузились по 20 секунд, а потом и вовсе упали, В нашем случае надо было быстро решать что делать, и не долго думая подключили проксирование StormWall. Для нас в тот день это было скорой помощью. Но однозначно заставило нас задумается что в будущем нам о защите стоит позаботиться.
Ответить