Блог BB-Admin

Это рассказ о том, как полезен антихотлинк, и как опасны китайцы.
Никогда не стоит пренебрегать антихотлинком, даже если у вас не очень большой сайт, и пока проблемы хотлинков нет.  Иногда проблема всплывает очень внезапно:

На графиках cacti видно резкий всплеск трафика на сервере, и как сразу выяснилось, этот трафик давал всего лишь 1 единственный сайт. По логам было видно что почти все конекты идут напрямую к картинкам, и с реферером какого-то китайского домена.
После добавления простейшего антихотлинка в .htaccess ситуация сразу пришла в норму.

RewriteCond %{HTTP_REFERER} !^http://(www.)?domain.com/
RewriteRule .*[Jj][Pp][Gg]$|.*[Gg][Ii][Ff]$ - [F]

Всего лишь проверка http_referer-а и все китайцы отдыхают :)
Хоть и ничего особо страшного с этим сайтом не случилось, но всего за пару часов беспредела китайских друзей было израсходовано больше 10Гб трафика, а сайт находится на дешевом тарифном плане с 25Гб трафика в месяц. Так что вполне реально упустить факт антихотлинка и узнать о нём только по громадному счёту за оверьюз трафика от хостера, поэтому заботится о безопасности сайтов нужно заранее, а не по факту проблемы.

Сейчас очень многие говорят о необходимости следить за безопасностью, например, использовать сложные пароли, о флешках с ключами, идентификации по отпечаткам пальцев (отпечаткам ног, носа, головы и т.д), и в целом я конечно же с этим согласен, однако есть одно но – безопасность не должна переходить в маразм.
Расскажу один случай, у одного человека падает сервер, пинг есть, но ssh и остальные сервисы недоступны. Он пишет хостеру просьбу ребутнуть сервер или дать kvm. Хостер просит идентифицировать себя, написать тикет с аккаунта, данные от которого на лежащем сервере, что естественно невозможно. Хостер просит отправить с wmid сообщение или платёж в 1$ – человек делает это, но следующее требование позвонить хостеру с телефона, указанного в профиле, причём даёт номер, куда можно позвонить не сразу. А сервер тем временем уже не первый час лежит. Но и на этом не ограничилось – теперь нужен уже скан паспорта. Это при том, что нужно всего лишь поднять упавший сервер, а не получить доступ к каким-то данным.
С большим трудом человеку удаётся уговорить хостера ребутнуть сервер, но сервер не встаёт после ребута, и хостер предлагает платное администрирование. Т.к. делать нечего, доступ к kvm без скана паспорта не дадут, клиент соглашается, спустя еще час хостер просит пароль от сервера. Да, очень сложно зайти в сингл и сбросить его, ну да ладно, это не главное.
Главное – это то, что у этого хостера тикеты с абсолютно открытым доступом! Именно поэтому я и читал эту переписку в тикете, хотя по идее это должен видеть только клиент и хостер.
А ведь в тикете есть IP и пароль от сервера, т.е. любой, кто прочитал этот тикет может поймать момент и захватить контроль над сервером, и это всё после того, как они морочили голову с wmid, телефоном, сканом паспорта.
Вот так вот правила безопасности становятся фикцией и переходят в маразм.
P.S. Сервер ему таки подняли спустя почти пол-суток после начала тикета.
P.P.S. Хостера специально не называю, т.к. это не пиар\антипиар.