WinPes pod útokem hackerů

hekr… že jim to za to stojí. Když ti šikovní kluci čínský zjistili, že máme na winpes.cz nejnovější a řádně zabezpečený WordPress, tak se alespoň pokusili zaplavit náš nebohý server stovkami připojení najednou. Nevím proč, asi s cílem nám to tu shodit. Jsme pro ně totiž asi součástí kritické infrastruktury a shozením WinPsa dosáhnou světového míru Mrkající veselý obličej. Dobrá, když už jsem to řešil, přesunul jsem zároveň blog na výkonnější železo a udělal pár změn, které popíšu.

Začalo to nenápadně

Web byl poslední dobou pomalý. Tak jsem se podíval do logu, a co vidím? Každou vteřinu asi tisíc připojení. Z Číny, jak jinak. Uff. Toto se muselo nějakým smysluplným způsobem řešit.

Kluci jsou šikovní, pokoušejí se napadat nejprve databázi MySQL (tam jsou dvě úrovně ochrany, jedna přes počet neúspěšných přihlášení a druhá přes geolokaci), a když jim to neprošlo, tak aspoň z několika set IP adres zahltit web požadavky a doufat, že spadne.

Jednou za rok bych to asi snesl, ale pokud je to dvakrát denně, člověku dojde trpělivost. Čili udělal jsem několik věcí, které snad pomohou k větší stabilitě blogu a větší rychlosti načítání jednotlivých stránek. Upozorňuju, že následující věci ocení spíš fajnšmekři a nemusíte jim rozumět.

Nový server – 16 GB paměti, SSD disk, pocitově mi to přijde lepší než to bylo.

Nová verze Apache serveru – na původním stroji musí zůstat nastavení serveru jak je, hlavně kvůli ostatním projektům, které tam hostuji. Tudíž byl problém aktualizovat tam Apache. Zde to problém není, takže jsem nahodil nejnovější (resp. jedno z nejnovějších) Apache2 – verzi 2.4.38

Nová verze PHP – Ano, dal jsem na server verzi PHP 7.3, když už jsem byl v ráži. Na rychlosti webu je to hodně znát, na bezpečnosti taky.

Nová verze databáze – na původním serveru byla MySQL řady 5, nyní jsem zaktualizoval na MariaDB 10.3.13. Vyšší výkon a vyšší bezpečnost.

A tyhle tři věci dohromady mi umožnily, abych konečně po letech zprovoznil na blogu protokol HTTP/2. Pro laiky – “části” webu se načítají paralelně a stránka je tak zobrazena dřív.

Google Analytics? Nechceme!

Já na webu winpes.cz hodněkrát zdůrazňoval, že to není výdělečný podnik, že tu nebyly, nejsou a nebudou reklamy ani nic takového. A to platí. Otázka samozřejmě je, jestli má smysl mít na takovém webu vůbec nějaké sledovací skripty typu Google Analytics. A víte co? Nemá. Zrušil jsem to.

Zrušil jsem rovněž PayPal ikonku pro zasílání darů, stejně to nikdo nevyužil.

A výsledek?

Pocitově myslím, že web je mnohem rychlejší. Použiju-li stránku webpagetest.org a změřím si rychlost, dostávám se na tato čísla:

speed-ff

Tedy celá úvodní stránka je načtená za méně než 1 vteřinu, a to používám v nastavení testu Firefox a testovací server Frankfurt (ten v Praze byl v době psaní článku nedostupný). Při použití Chrome je vše ještě o cca 15% rychlejší.

speed-chrome

… a poslední věc – z testu je vidět, že stránka opravdu nenačítá žádné externí skripty – vše se “tahá” jen z www.winpes.cz – jak to má být.

Proč takhle blbnu?

Jak je myslím vidět, věnoval jsem úpravě technické stránky blogu několik hodin a dal do toho další peníze. To je prostě proto, že tuhle stránku nechci pohřbít, ale naopak dál rozvíjet. I když to tak poslední dobou nevypadá.

Tak snad bude již vše po technické stránce v pořádku a já budu moct dělat to, kvůli čemu tenhle blog vznikl – psát články a diskutovat s Vámi, moji milí čtenáři.

Prosba na závěr

Je mi jasné, že při migraci tak rozsáhlého webu se mohlo něco někde rozsypat. Prosím proto, pokud někdo něco nefunkčního najdete (odkazy, něco v diskusi, něco s e-maily a podobně), abyste mi dali vědět, třeba v diskusi pod článkem.

Příspěvek byl publikován v rubrice Nezařazené. Můžete si uložit jeho odkaz mezi své oblíbené záložky.

10 komentářů: WinPes pod útokem hackerů

  1. Ahoj,

    za mě to jsou vyhozené peníze, kdyby jsi to hodil na Wedos, Forpsi na neomezený hosting, hodil před to cloudflare, nemusel bys vyhazovat za výkoný server, který je naprosto zbytečný, pro tento učel. Místo toho bys mohl napsat nějaký článek ;)

    navíc by mě zajímalo jak se to zaplatí :D

  2. Tom napsal:

    Admine, diky za cas (a penize), ktere do tohoto blogu davas a tesim se na nove clanky.

  3. nemozny napsal:

    Krásná práce! Mě neustále lezli do SSH na NASu, tak jsem pořád měnil porty a přidával iptables pravidla, až to přestalo (je tam certificate login, takže stejne neměli nikdy šanci, pokud nemaji nějaký 0day exploit). Takže buď uz u mě maji account nebo pomohlo přehodit ten port nad 10000, protože do 2000 nebyli borci líní scanovat.
    Jim to za to evidentně stoji, výkon asi nepotřebují, stačí jim zombifikace stroje pro tyhle syn flood útoky.

  4. MD napsal:

    Diky za upgrade, uplne to svisti! Libil se mi tenhle DDOS zamereny na Apache… u Tebe uz to fungovat nebude, ale verim, ze starych apachu na webu bezi jeste dost a tohle je tak jednoduchy az je to krasny… a jeste to ma roztomily zvire v erbu:) https://www.youtube.com/watch?v=XiFkyR35v2Y

Napsat komentář

Vaše emailová adresa nebude zveřejněna.