全球主机交流论坛

标题: 请教技术达人，index.php文件被攻击，如何用nginx规则防御 [打印本页]

作者: se7en 时间: 2017-5-19 20:03
标题: 请教技术达人，index.php文件被攻击，如何用nginx规则防御
(, 下载次数: 5)
网站被攻击上面是日志。
请教下大家如何防御
有高手说，匹配到index.php 然后 refrre是首页index就返回502
不到php层次即可

请问具体如何操作呀

作者: 62900015 时间: 2017-5-19 20:16
匹配user-agent吧

作者: 优秀的苦瓜 时间: 2017-5-19 20:16
提示: 作者被禁止或删除内容自动屏蔽

作者: se7en 时间: 2017-5-19 20:21

62900015 发表于 2017-5-19 20:16
匹配user-agent吧

具体如何操作呀

作者: 62900015 时间: 2017-5-19 20:30

if ($http_user_agent ~* (Mozilla|Baidusider) ) {return 502;}
if ($http_user_agent = "" ) {return 502;}
if ( $request = "POST / HTTP/1.1" ) {return 502;}
if ( $request = "POST / HTTP/1.0" ) {return 502;}
if ( $request = "POST // HTTP/1.0" ) {return 502;}

复制代码

作者: deepflow 时间: 2017-5-19 22:01

62900015 发表于 2017-5-19 20:30

学习

作者: yunran 时间: 2017-5-19 22:25
恕我直言，这样的防御并不能起到多大作用，听我的，把index文件删除就没问题了

作者: lijihede 时间: 2017-5-19 22:30
return 502 还是会有流量产生，return 444 这个要高明一些。

作者: 冻猫 时间: 2017-5-19 22:34
百度蜘蛛啊，你在网站根目录弄个robots.txt不就好了

作者: logic90 时间: 2017-5-19 22:50
同ip请求频率高的直接ban ip 。。。要是每次都换ip的话就没办法了，只能上cdn，加5秒盾，实在不行就加验证码。。。

作者: 大猫 时间: 2017-5-19 22:54

62900015 发表于 2017-5-19 20:30

yc013t 向大佬学习天天向上

作者: 62900015 时间: 2017-5-19 23:07
根据日志封IP
cat 80host.com.log | grep 'Mozilla/5.0' | awk '{print "iptables -I INPUT -p tcp --dport 80 -s ", $1, "-j DROP"}'| sort -n | uniq | sh

根据日志统计IP
cat 80host.com.log | egrep -o "[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}\.[0-9]{1,3}" | sort | uniq -c | sort -nr

根据日志blackhole
cat 80host.com.log | grep 'WordPress' | awk '{print "ip route add blackhole ", $1}'| sort -n | uniq | sh

作者: 今晚我是你的 时间: 2017-5-19 23:08
把php临时改成html的

作者: anxin365 时间: 2017-5-20 01:03
提示: 作者被禁止或删除内容自动屏蔽

作者: jiajieit 时间: 2017-5-20 05:08
这不是百度蜘蛛吗

作者: 40huo 时间: 2017-6-3 15:18

冻猫发表于 2017-5-19 22:34
百度蜘蛛啊，你在网站根目录弄个robots.txt不就好了

只是UA做成了百度蜘蛛吧，看着频率显然是CC啊。

作者: Ricky.D. 时间: 2017-6-24 15:01

62900015 发表于 2017-5-19 20:30

这样不会误杀正常用户，这样会屏蔽爬虫，很简单啊，cdn弄个搜索引擎线路，再搭建一个沙河环境即可（如凌镜）

欢迎光临全球主机交流论坛 (https://sunk.eu.org/)