HUP.hu elérési problémák

HUP

A https://hup.hu jelenlegi elérési problémáit az üzemeltetés szerint kínai és szingapúri IP-címekről érkező nagy mennyiségű rosszindulatú kérés okozza. Dolgoznak a probléma elhárításán.

  • 1835 megtekintés

( BehringerZoltan | 2025. 09. 21., v – 00:08 )

Szerkesztve: 2025. 09. 21., v – 00:09

van a GET-nek jó- és rosszindulatú kapcsolója? Próbálják az injekciókat :-O

"antiegalitarian, antiliberal, antidemocratic, and antipopular"

( kicca | 2025. 09. 21., v – 10:33 )

Szerkesztve: 2025. 09. 21., v – 10:37

Lehet csak AI-hoz adatgyujtes? par ipt vagy par asnumot dobj plz.

Az elmúlt 3-4 hónapban teljesen jellegtelen oldalaknál (pl. egy cipőbolt/játékbolt webáruháza) is tapasztaltam főként ázsiai (kínai, szingapúri) illetve dél amerikai (jellemzően brazil) ip címekről hatalmas forgalmat, amik hirtelen jöttek és haltak el. Közös bennük, hogy szokványos ddos-nak tűnt, csak értelme nem volt, cserébe minden request egyedi volt (nem paraméterezve, hanem külön aloldalakra). Én AI etetésnek tudtam be, mert míg a hup-nál megértem, hogy valaki szeretné megkergetni kicsit, egy budapesti cipőbolttal nem egy kategória :)

Mivel alapvetően PHP backendes site-ok voltak és más nem volt elérhető hirtelen, egy 3 perces összedobott script-el geoip szűrtem (csak eu és na-us régiót engedve), majd egyszerűen php.ini -ben auto_prepend_file= -al beraktam, hogy minden kérés előtt lefusson (na-us a keresők meg a paypal miatt).

Ezzel a backend forgalom 95%-ban kukázva lett, azok a botok amik ezekből a régiókból voltak meg már elfértek ;) A tíltás után kb 1 óra alatt a forgalom elhalt, majd a szűrést levettem (aztán még kétszer visszatértek, de bekapcsolás után ugyan úgy eltűnt a forgalom)

En is azt neztem, hogy neha-neha validnak tuno kinai/szingapuri forgalom beesik kb 5-10k iprol. Egy ideje valid user-agent, valid ja4, ja3. Egyelore onnan lehet tudni leggyorsabban, hogy ip ttl mezo az linux/mac/bsd de useragent meg windows. Masik, hogy kinai lakossagi ip, de europabol van hirdetve olyankor. GPU/resolution/zoneinfo/cpu/mem/etc is ugyan az mindegyiknel.

Dosnak tunik csak mennyiseg alapjan, de AI valoszinubb. Foleg, hogy ugyan ezen patternnel de meg szar ja3,ja4-el jottek fel eve es AI kliensek ertekei voltak a hashek (pl.: Tencent AI)

Kíváncsi lennék a hupon tanított AI-re...

'Hogyan lehet Windows API-ból file kiválasztó dialógusablakot megjeleníteni?'

'Ilyen faszságot is csak a te fajtád kérdezhet, nem csoda, hogy sorban a negyedik kétharmadot ajándékoztátok a jelenlegi kormánynak.'

Debian - The "What?!" starts not!
http://nyizsa.blogspot.com

van pár nagyobb site a kezem alatt, ott az elmúlt 1 évben így nézett a menetrend, voltak ilyen "sáskajárásos" időszakok, ezért is maradtam az AI etetéses gondolatnál:

- főként tencent, de pár ali és egyéb datacenterből, 30-40 IP címről, de még láthatóan AI bot user agent-el érkeztek, óvatosan, 4-5 req/sec -el
- aztán történt valami elborulás, ugyan ezen DC-ből 10k nagyságrendben random IP-vel, de még AI user agent-el, de nem finomkodtak, 50-100 req/sec -el
- előbb eltűnt a user agent, random iphone/chrome/firefox lett belőle, dc címek maradtak
- végül a mostani állapot, teljesen random ip címekről, teljesen random user agentek, volt olyan hely ahol 1000req/sec -el tolták mint a bolond

Igazából nem zavart volna az első állapot, mert bőven elfértek a normál üzemmenetben, de amit most csinálnak az már az a kategória, amit szűrni kell. A load-al együtt a vérnyomásom is szökik felfele.

Jaja, kb. szó szerint így.

Nálunk most az a baj, hogy néha betalálnak olyan URL-eket, hogy mittomén... az elmúlt tíz év mifenéje, amit kb. évente egyszer néz meg pár ember, és viszonylag sokáig tart, míg a backend összeszedi, de a crawlerek szorgosan végigkérdezik ezeket. DE! Anélkül, hogy konkrétabban megnéztem volna, nekem úgy tűnik, hogy a botocska elveszti a türelmét, mittomén egy másodperc után, és anélkül, hogy rendesen lezárná a TCP kapcsolatot, megy tovább (másik site, másik lapra).

Igenám, de közben a haverjai ugyanezt csinálják a hasonló URL-ekkel. És nálunk ez sajnos elég sok problémát okoz.

( Hiena v | 2025. 09. 21., v – 13:08 )

"Te mondd, hogy kibertámadás, a te hangod mélyebb!"

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

( SPYFF v | 2025. 09. 21., v – 13:52 )

Feltűnt hogy lassabban nyílik meg az oldal, de miután betöltött ugyanolyan gyors mint máskor. Azt nem gondoltam, hogy támadás... Remélem sikerült kezdeni vele valamit.

( asch v | 2025. 09. 21., v – 21:11 )

Nekem is feltűnt lassúság, meg talán 1-2x le se jött a kezdőoldal. Szépen megoldották az üzemeltetők, hogy csak ennyi lett belőle! Gratula!

( trey | 2025. 10. 22., sze – 12:53 )

Kína újra támad:

 

trey @ gépház

Latod, mar siman meglenne a kovetkezo rolexed, ha lenne fizetett, jol beagyazott reklam az oldaladon...

(Scraperek ellen jo trukk, hogy a reklamot preloadba kell lenni es addig nem tolteni a valos tartalmat, mig a reklammal nem vegzett. Eleg gyorsan elpalyaznak az oldalrol.) 

"Maradt még 2 kB-om. Teszek bele egy TCP-IP stacket és egy bootlogót. "

Évek óta nem néztem, most igen, mert be akartam jelenteni a Rackforest-nek, hogy mi okozza a problémát. Megtörtént, kibaszták az egész régiót, a rend helyreállt, tehát a GA jól mutatta, hogy honnan baszogatják az oldalt. 

Mondjuk, még mindig lehetne rajta finomítani:

 

 

trey @ gépház

( x-daemon | 2025. 10. 22., sze – 14:01 )

az nem megoldas, ha a kinai halozatbol jovo forgalom korlatozva van? akkor csak ok szivnanak, nem mindenki.

neked aztan fura humorod van...

( YleGreg | 2025. 10. 22., sze – 14:25 )

Bocs skacok, ez én voltam. Aliexpresszen rendeltem egy raklap akciós GET -et, csak rossz helyre küldték. :-)