WEDOS je jedním z největších hostingů v Evropě v počtu hostovaných domén. Celkem jen na našem sdíleném webhostingu hostuje 153 843 domén. Další tisíce jsou pak na WMS a využívající službu WEDOS WebSite. A ze všech v reálném čase sbíráme data. Ta pak využíváme například na zlepšování naší ochrany WEDOS Global Protection. Pojďme se podívat, co vše se stalo v pondělí 5. února 2024.
Objem a zpracování dat
Celkem jsme do logů uložili 380 908 496 záznamů jen k webhostingům, WMS a WebSite. Nejsou to jen přístupy, ale i chybová hlášení a další technické informace, ze kterých jsme schopni zjistit, co se na webu v danou chvíli stalo.
S těmito daty pracují jak technici, tak i tým datových analytiků, kteří hledají například nové formy útoků, anebo způsob, jak vylepšit různé funkce našich služeb. Jedním z posledních větších úkolů bylo najít společné soubory pro WordPress, které bychom mohli „servírovat“ přímo z naší infrastruktury WEDOS Global, což by značně zrychlilo načítání webů, zvláště v lokalitách, kde běžně nemáte moc návštěvníků.
Denní návštěvnost
Pokud si vyfiltrujeme pouze přístupy na weby a odstraníme některé naše testy, tak takto vypadá za den návštěvnost všech hostovaných webů u nás.
Data kopírují běžný provoz na českém internetu. Většina zákazníků WEDOS jsou Češi, velká část provozu jsou pak roboti vyhledávačů, sociálních sítí (hlavně USA) a požadavky serverů třetích stran (Francie, Německo), kde jsou služby, které naši zákazníci využívají.
To potvrzuje i TOP 10 zemí, ze kterých pochází přístupy.
V pondělí přímo naše webhostingové servery (bez proxy, bez WEDOS Global) odbavily 274 108 068 přístupů z 2 142 469 unikátních IP adres. Většina přístupů je z IPv4.
| Verze IP | Přístupů | % | Unikátních IP | % |
| IPv4 | 236 942 626 | 86,44 % | 1 797 818 | 83,91 % |
| IPv6 | 31 046 430 | 13,56 % | 339 490 | 16,09 % |
A odkud chodí přístupy? Asi nikoho nepřekvapí, že v popředí jsou O2, T-Mobile a Vodafone.
Ale proč je tam WEDOS? Nejvytíženější domény, ať už kvůli počtu přístupů nebo kvůli útokům, jsou totiž schované za WEDOS Global Protection. Takže jako zdroj jsou vidět reverzní proxy. Ve skutečnosti toho WGP odbaví daleko více, ale jednak útoky zařízne, takže se na webhosting už nedostanou, a na aktualizaci cachovaného obsahu na reverzní proxy se ptá třeba 1x za 60 vteřin. Část z těchto dotazů jsou i pravidelné kontroly WEDOS OnLine.
Jen pro zajímavost, reverzní proxy WEDOS Global v pondělí 5. února odbavily 133 154 250 požadavků. To abyste měli představu, kolik toho blokuje/cachuje. To však neznamená, že by 85 % přístupů bylo škodlivých nebo cachovaných. Službu WEDOS Global Protection využívají nebo testují i státní weby (ministerstva), finanční instituce (včetně bank) a další významné projekty, které hostují jinde.
Každý přístup s sebou přináší i informaci, jaký prohlížeč návštěvník používá, případně že to není člověk, ale robot.
Tady není asi žádné překvapení. Chrome jasně vede, druhý je Firefox a třetí Safari.
Co možná překvapí, že roboti Facebooku navštíví více stránek než Googlebot.
Rychlost vrácení stránky serverem
Na hlavní stránku webu (například domena.tld/) jsme za den zaznamenali 9 957 778 přístupů z 410 784 unikátních IP adres.
Průměrná rychlost vrácení stránky je 0,953 vteřiny a medián 0,325 vteřiny. Jedná se o stránky generované webhostingovým serverem. Nad tím jsou ještě cachovací proxy servery, které ukládají obsah.
Pokud si rozložíme weby na (sub)domény, tak hlavní stránky se u nich vracejí v průměru za následující dobu:
Jedná se pouze o hlavní stránky, kde odpovědí bylo 200 (stránka nalezena).
Pro srovnání: průměrná rychlost hlavní stránky webů, které jsou na WEDOS Global Protection, je 0,308 vteřiny, tedy je 3x rychlejší než na webhostingu.
Útoky
Předně je nutné říct, že weby, které jsou často pod útoky, a velké weby, jsou už schované za WEDOS Global Protection. Přes tuto ochranu se většina útoků a pokusů o útok nedostane. V podstatě přesunutím pár set domén během minulého roku se ulevilo mnoha webhostingovým serverům o vyšší desítky procent. Následující data jsou tak spíše „zbytky“, co jdou na víceméně bezproblémové weby, a tyto útoky nezpůsobují přetěžování webhostingových serverů.
Za den dorazilo celkem 37 249 SQLi útoků. Jednalo se spíše o průměrný den. Rekord za posledních 30 dní měl přes 1 M pokusů o SQLi během 24 hodin.
Zaznamenali jsme celkem 449 707 pokusů o hledání souborů s daty. Například pokus najít soubor se zálohou, certifikátem apod.
Dále jsme zaznamenali 76 619 pokusů o hledání souborů s konfiguracemi, logy a přístupovými údaji.
Na WordPress jsme zaznamenali následující pokusy o útok:
- 839 868 pokusů o zneužití XMLRPC,
- 373 648 pokusů o brute force útok na přihlašovací formulář,
- 2 569 157 nestandardních volání admin-ajax.php.
U brute force útoků na přihlašovací formuláře je zajímavé, že šly za den z celkem 91 479 unikátních IP. Útočníci to umí hezky rozložit.
Na webhostingu tyto útoky přímo neblokujeme. Blokujeme pouze IP adresy, které to opakovaně zkouší. Pokud chcete automaticky blokovat tyto pokusy, tak to automaticky dělá WEDOS Global Protection. Stačí si nainstalovat WordPress plugin na ochranu a zrychlení webu.
Co se týká tradičních volumetrických útoků, tak ty jsou v posledních letech spíše na ústupu. V pondělí jsme zaznamenali jen 1 pidiútok na webhostingy, a to o síle 758,1 Mbps, což vyřeší naše ochrany automaticky a bez mrknutí oka.
Aktivita na FTP
FTP používají naši zákazníci k nahrávání souborů na webhosting, případně pro automatickou zálohu dat na 5 GB WEDOS Disk, který je k webhostingu zdarma.
V pondělí 5. února naši zákazníci nebo jejich skripty provedli přes FTP celkem:
- 793 533 pokusů o přihlášení (z toho 11 465 neúspěšných),
- 3 920 450 nahrání souborů,
- 2 806 737 stažení souborů.
Jak je vidět, na našem FTP to žije. 🙂
Závěr
Dat by se dalo vytáhnout samozřejmě více. Jen aktivita na mailserveru by se dala rozepsat na několik stránek. Ale to si necháme třeba na příště, pokud by byl zájem.