Проблема. На сайте резко увеличились Прямы заходы – с средних 200 в день за несколько дней выросло до 2000 посетителей в день. Заходы совершались на десятки одних и тех же страниц с Android. Время на сайте таких «посетителей» примерно 30 сек. Все эти посещения шли из Московской области. Причем, все эти переходы фиксировала Яндекс.Метрика, а Liveinternet – нет (там все без изменений). Посмотрев логи сайта увидел много прямых заходов на те страницы что и в Метрике с IPv6, вот такого вида 2a09:400:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx. Т.е. все эти ipv6 начинались на 2a09:400:.
Скорей всего это намеренно делают ботами, чтобы ухудшить поведенческие факторы сайта. На форумах нашел, что эти боты с ipv6 подсети «2a09:400:» атакуют и другие сайты различных тематик. Скорей всего человеку просто заказывают такую «накрутку» конкуренты. Как закрыть доступ диапазону ipv6 в интернете пока не особо нашел.
ipV6 заблокировал в cPanel и вроде помогло.
Решение 1. Вроде получилось заблокировать через cPanel на хостинге – Раздел «Безопасность» => Блокиратор IP. Добавить подсеть можно так 2a09:0400:0000:0000:0000:0000:0000:0000/32 или 2a09:400::/32.
Решение 2. На форуме посоветовали еще два примера, но пока не пробовал их т.к. не разобрался если эти коды вставлять в htaccess, то имеет ли разница на сервере Apache или nginx.
|
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 |
Вариант 1: <RequireAll> Require all granted Require not ip 2a09:400 </RequireAll> или Вариант 2: SetEnvIf Remote_Addr "^2a09:400:.*" env=bad_bot <Limit GET,POST,HEAD> Order Allow,Deny Allow from all Deny from env=bad_bot </Limit> |
Если вы столкнулись с похожей проблемой, буду рад если отпишитесь в комментариях помогли ли вам эти способы или нашли другое решение. А может быть есть замечания по изложенной информации, то обязательно тоже пишите.
А что означает :/32 в конце адреса? И как сократить правильно на примере вот такой пачки ip адресов.
2a10:2ec7:606b:37f1:757b:9192:5c48:a31c
2a0d:e4c4:4da7:2a6:b660:1a38:87d8:7abc
2a0f:cc87:d202:715a:4b1d:2eee:7d57:6b53
Я не специалист в вопросе, но вот /32, как я понимаю это формат записи. Так нужно прописывать. Если посчитать символы в ipv6, кроме «:», то их будет как раз 32.
Что касается сокращения, то я так понимаю вы хотите заблокировать какой-то диапазон. Например, ваш «2a10:2ec7:606b:37f1:757b:9192:5c48:a31c». Если хотите заблокировать все ip, которые имеют одинаковые первые два блока (по 4 символа), то это будет выглядеть как «2a10:2ec7::/32», т.е. все ip у которых в начале будет «2a10:2ec7:» должны блокироваться.
ip ботов долго выслеживал Вот что я прописал в httacces
Order Deny,Allow
Deny from 83.220.
Deny from 176.59.
Deny from 213.87.
Deny from 85.140.
Deny from 85.249.
Deny from 109.252.
Deny from 178.176.
Deny from 94.25.
Deny from 31.173.
Deny from 91.193.
deny from 2a09:0400:0000:0000:0000:0000:0000:0000/32
deny from 2a09:4e06:0000:0000:0000:0000:0000:0000/32
deny from 2a12:7c02:0000:0000:0000:0000:0000:0000/32
Самые вредоносные конторы с помоечным спам трафиком на данный момент: Biterika (AS35048) и VPSville (AS59504). Блокируйте все подсети этих муд**** — не пожалеете.
Кстати 2a09:400::/35 это и есть одна из помоек VPSville, но у них их гораздо больше.
Тут и тут полный список всех сетей этой нечисти.