Afficher l'adresse IP des visiteurs / visiteurs anonymes ?

Richie · Janvier 11, 2022, 9:13

Y a-t-il un moyen de voir les adresses IP des utilisateurs anonymes / invités ?

Et/ou le nombre de connexions de chacun ?

Mon site reçoit des centaines et des centaines de pages vues par minute, depuis quelques heures, l’utilisation du processeur est également au maximum à 100 %.

Jagster · Janvier 11, 2022, 9:42

Avez-vous vérifié vos logs Nginx (ou quel que soit votre système) ? Ce sont des bots et des tentatives d’intrusion. Vous ne faites rien avec les adresses IP. Celles-ci changeront après quelques tentatives (les adresses IP sont inutiles de toute façon, elles changeront toujours). Vous devriez commencer par le géo-blocage (assez peu de sites sont vraiment mondiaux) et bannir de nombreux user agents au niveau du serveur ; au moins tous les scrapers SEO totalement inutiles et gourmands, les bots qui s’identifient comme IE5.x, etc.

pfaffman · Janvier 11, 2022, 10:13

Si vous avez effectué une installation standard, il devrait y avoir une limitation de débit (et une partie est dans Rails). Comment avez-vous installé ?

Jagster · Janvier 12, 2022, 8:52

Comment fonctionne cette limitation de débit en fait (non, je n’ai pas cherché la réponse). Va-t-elle s’activer après un certain nombre de requêtes dans un laps de temps donné par IP ?

Quoi qu’il en soit, lorsqu’il y a une situation de type ddos, dans le sens où par exemple une URL est mentionnée dans une stupide liste, alors commence un déluge d’IP venant de Chine, du Pakistan, d’Iran, d’Irak, du Vietnam et de Russie, plus beaucoup de VPS de grands services, principalement des États-Unis, de France et d’Allemagne. Quand ils essaient 3 fois et changent d’IP, la limitation de débit n’aide pas beaucoup.

J’ai eu à un moment donné beaucoup de recherches stupides. Et beaucoup signifie qu’un droplet à 5 USD de DigitalOcean a planté et je n’avais presque aucune requête de la part d’humains.

C’est plus ou moins une question de serveur web, pas de Discourse. Ces attaquants devraient être bloqués avant l’application. Je sais que ma situation/mes solutions sont beaucoup plus faciles que celles de l’OP ou de la plupart des webmasters ici car je suis finlandais et mon forum est purement finlandais — donc bannir le monde entier m’est possible (bon, les Finlandais vivant à l’extérieur de la Finlande voient cela différemment )

Mais indépendamment de la limitation de débit, au moins les faux agents utilisateurs devraient être arrêtés immédiatement.

Qu’en est-il des attaquants SSH ? Ceux-ci consomment aussi des ressources.

pfaffman · Janvier 12, 2022, 12:10

Si vous rencontrez des problèmes de ddos, je vous recommande cloudflare (ce que je fais presque jamais). Assurez-vous d’utiliser le modèle cloudflare, puis désactivez les optimisations (ou lisez attentivement la configuration de celles-ci).

Jagster · Janvier 12, 2022, 12:41

Ce n’est pas un vrai ddos. Mais lorsqu’il y a beaucoup de requêtes du même type, elles agissent comme un ddos, le résultat est le même. J’utilise Varnish et Fail2ban, ainsi que le géo-blocage, et cela fait le travail pour moi.

Richie · Janvier 12, 2022, 4:08

Oui, j’ai fait une installation standard.

Ma première pensée a été simplement d’être “slashdotted”, mais 24 heures plus tard, je suis toujours attaqué.

La solution temporaire rapide a été de fermer la porte d’entrée et de définir le site sur “connexion requise”. Ce qui a fonctionné, l’utilisation du CPU est passée de 100 % à 3 % en 60 secondes.

Dès que je rouvre la porte d’entrée, ma page /search est instantanément submergée par des requêtes inutiles comme :

/search?q=dogs+order:latest&page=2
/search?q=cats+order:latest&page=2
/search?q=fly+order:latest&page=2

etc.

Cela se produit dans les 60 secondes suivant la réouverture du site.

Nous sommes un petit groupe de niche, je ne sais pas pourquoi quelqu’un nous ciblerait avec quoi que ce soit

Ce n’est qu’une estimation, mais selon Google Analytics, nous avons normalement 8 à 10 utilisateurs actifs et cela monte en flèche à plus de 1 000 en quelques secondes après que j’aie rouvert le site au public. Toutes les connexions proviennent de diverses régions des États-Unis, toutes directes sans référents.

Je vais laisser le site fermé aux membres uniquement pendant quelques jours et voir si cela disparaît, ou voir si je peux limiter la page /search aux utilisateurs connectés uniquement, et sinon, je devrai probablement passer par Cloudflare.

Merci à tous

pfaffman · Janvier 12, 2022, 4:41

Ouais. C’est bizarre, mais je suppose que c’est ça, internet.

Ohh. Quel est l’agent utilisateur ? Peut-être pourriez-vous l’ajouter à agents utilisateurs de robots bloqués ?

Richie · Janvier 12, 2022, 4:48

Bonne question !

Je vais voir si je peux trouver ça sur la page du rapport Google Analytics

pfaffman · Janvier 12, 2022, 4:50

Je pense que vous pouvez également regarder dans /var/discourse/shared/log/var-log/nginx/.... (ou quelque chose de très similaire). Il existe d’autres paramètres comme slow down crawler user agents si vous recherchez “agent” dans les paramètres.

Richie · Janvier 12, 2022, 5:04

Trouvé dans : /var/discourse/shared/standalone/log/var-log/nginx/access.log

(téléchargement local en cours)

Merci @pfaffman, je vais voir si quelque chose me saute aux yeux.

Richie · Janvier 12, 2022, 5:13

Un rapide coup d’œil semble montrer un mélange varié d’agents utilisateurs.

Cela me fait également suspecter une attaque maintenant plutôt qu’un slashdot

[12/Jan/2022:13:26:20 +0000] "greyarro.ws" 184.174.102.229 "GET /search?q=cats+order%3Alatest\u0026page=2 HTTP/2.0" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.57 Safari/537.36" "search/show" 302 1117 "-" 0.012 0.009 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:13:27:22 +0000] "greyarro.ws" 173.211.78.162 "GET /search?q=cats+order%3Alatest\u0026page=2 HTTP/2.0" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/90.0.4430.9390.0.4430.212 Safari/537.36" "search/show" 302 1117 "-" 0.012 0.009 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:13:30:46 +0000] "greyarro.ws" 66.78.24.176 "GET /search?q=cats+order%3Alatest\u0026page=2 HTTP/2.0" "Mozilla/5.0 (X11; Linux x86_64; rv:89.0.2) Gecko/20100101 Firefox/89.0.2" "search/show" 302 1117 "-" 0.020 0.019 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:16:10:32 +0000] "greyarro.ws" 38.18.59.158 "GET /search?q=cats+order%3Alatest\u0026page=2 HTTP/2.0" "Mozilla/5.0 (Windows NT 6.3; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.86 Safari/537.36" "search/show" 302 1117 "-" 0.008 0.011 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:16:10:57 +0000] "greyarro.ws" 108.62.69.249 "GET /search?q=cats+order%3Alatest\u0026page=2 HTTP/2.0" "Mozilla/5.0 (Windows NT 6.3; Win64; x64; rv:88.0.1) Gecko/20100101 Firefox/88.0.1" "search/show" 302 1117 "-" 0.008 0.009 "-" "-" "-" "-" "-" "-" "-" "-"

et :

[12/Jan/2022:16:11:07 +0000] "greyarro.ws" 38.18.49.252 "GET /search?q=dogs+order%3Alatest\u0026page=2 HTTP/2.0" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.78 Safari/537.36" "search/show" 302 1117 "-" 0.012 0.011 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:16:28:08 +0000] "greyarro.ws" 206.180.185.39 "GET /search?q=dogs+order%3Alatest\u0026page=2 HTTP/2.0" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:88.0) Gecko/20100101 Firefox/88.0" "search/show" 302 1117 "-" 0.016 0.012 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:16:28:08 +0000] "greyarro.ws" 38.18.55.132 "GET /search?q=dogs+order%3Alatest\u0026page=2 HTTP/2.0" "Mozilla/5.0 (Windows NT 6.2; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.57 Safari/537.36" "search/show" 302 1117 "-" 0.008 0.009 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:16:28:10 +0000] "greyarro.ws" 184.174.54.113 "GET /search?q=dogs+order%3Alatest\u0026page=2 HTTP/2.0" "Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/89.0.4389.69 Safari/537.36" "search/show" 302 1117 "-" 0.012 0.011 "-" "-" "-" "-" "-" "-" "-" "-"
[12/Jan/2022:16:28:14 +0000] "greyarro.ws" 184.174.72.90 "GET /search?q=dogs+order%3Alatest\u0026page=2 HTTP/2.0" "Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:89.0.1) Gecko/20100101 Firefox/89.0.1" "search/show" 302 1117 "-" 0.016 0.017 "-" "-" "-" "-" "-" "-" "-" "-"

Je crains que nous ne nous écartions un peu du sujet d’origine, mais j’apprécie l’aide, merci

Jagster · Janvier 13, 2022, 9:10

Tous ces paramètres n’aident que si un robot suit les limites et les guides. Même Googlebot ne le fait pas tout le temps et les mauvais jamais. C’est l’une des raisons pour lesquelles robots.txt est si inutile.

Et avertissement. Je ne sais pas si Discourse utilise une autre technologie pour ralentir.

Jagster · Janvier 13, 2022, 9:13

Non, nous ne nous éloignons pas. Parce que votre question était un peu à côté de la plaque Vous vouliez connaître un petit détail alors que vous auriez dû demander « que faire quand mon Discourse est attaqué par des bots/ddos ».

Sujet		Réponses	Vues
Anonymous views suddenly very high Data & reporting	47	1032	Décembre 3, 2025
Pageviews from Anonymous Users have exploded but Google Analytics showed no traffic growth. How to find about where the increase come from? Data & reporting	23	2350	Janvier 5, 2021
Discourse overloaded real traffic or DDOS? 100% CPU usage despite of decent traffic and high specs server Installation server-resources	18	2252	Septembre 25, 2021
How can I figure out why I have a big jump in anonymous pageviews Data & reporting	10	1249	Mars 9, 2022
MegaIndex bot did about 4,000 pageviews on one day Community	40	4520	Décembre 2, 2023

Afficher l'adresse IP des visiteurs / visiteurs anonymes ?

Sujets connexes