Пришло письмо от хостинг-провайдера с предупреждением о перегрузках.
Полезли посмотреть. Да, есть такое дело.
Я решил разобраться с причиной нагрузки. Бывает, что какие-нибудь новые поисковики индексируют сайт, и проходятся по нему целиком. Но в данном случае характер нагрузки был другой, это заметно по некоторым признакам.
Смотрим в подробности.
"Бомбят" mmc-manuals.ru.
Качаем access.log. Что мы там видим?
С адреса 93.95.160.222 27-го марта зашли на сайт браузером, пошарились, пошли изучать мануал на Эклипс Кросс.
Мануал понравился, решили качнуть — в 07:13 натравили Wget.
Не знаю, каков результат, но видимо удачно. Тут включилась жадность, решили выкачать ВСЁ.
27-го числа фитилёк видимо был прикручен (или канал злоумышленника был загружен рабочими процессами) поэтому нагрузка на сервер не ощущалась. В 09:40 закачку прекратили.
Продолжили 29 марта в 18:19 — пятница, вечер, а значит, канал будет свободный все выходные.
До 02:20 подержали на ограничении, а потом — всё, на всю катушку. Тут мой сервер поднагрузился.
Атака длилась примерно до 6 утра 31 марта.
Вычислив ip-адрес и род атаки, стало интересно, а кто же это у нас такой любопытный/жадный/завистливый (нужное подчеркнуть)?
Whois и nslookup подсказали про 2de.ru. Дальше можно было не искать — мне этот адрес знаком, и известно, кто его хозяин.
Но убедимся для полной гарантии. Например: ipinf.ru/domains/?host=ns2.2de.ru
Тут мы уже видим адреса сайтов, знакомые не только мне.
У меня после всего это только один вопрос: Женя, нафига тебе всё это?