全球主机交流论坛

标题: 恶意刷违禁词攻击者IP收集互助贴 [打印本页]
作者: 小鸟天天飞    时间: 2021-11-13 10:17
标题: 恶意刷违禁词攻击者IP收集互助贴
本帖最后由 欧阳逍遥 于 2021-11-13 10:44 编辑

前两天看到大佬们分享的屏蔽IP的帖子,我觉得大家应该团结起来,一起收集攻击者的IP池。
然后整理合并到一起,大家一起分享,一起防御。  他们的IP池不可能无限大。
这样攻击你的IP 你分享给了别人,别人就避免了攻击,别人分享给你,你也同样避免的同一ip的攻击。

我也看了日志,他们的IP和UA都是循环攻击的,说明他们的IP池肯定有限。


小弟牵个头,希望各位大佬大哥能团结起来


标题有问题,我编辑掉了。
作者: 欧阳逍遥    时间: 2021-11-13 10:36
本帖最后由 欧阳逍遥 于 2021-11-13 10:46 编辑

还是那句话,我的规则比较严格,可能存在很大概率误封正常用户的情况。
所以不建议放到https中,仅建议放到 http 中。 用或者不用 自己斟酌,我个人态度是宁错杀一万不放过一个。

不过我主动过滤了以下蜘蛛的IP:

                "sm.cn",
                "baidu.com",
                "bytedance.com",
                "toutiao.com",
                "sogou.com",
                "msn.com",
                "googlebot.com",
                "google.com"

食用方法:
banip.conf 放到 nginx 的 conf 目录下 lnmp 默认是 /usr/local/nginx/conf
然后修改你nginx的站点配置

server{
        你的站点配置信息 掠过

        include banip.conf;
}

(, 下载次数: 375)
作者: xuliliang    时间: 2021-11-13 10:40
发生了啥?前排吃瓜
作者: LoliR    时间: 2021-11-13 10:42
欧阳逍遥 发表于 2021-11-13 10:36
还是那句话,我的规则比较严格,可能存在很大概率误封正常用户的情况。
所以不建议放到https中,仅建议放到 ...

我的话直接开了 HSTS 不过感谢版主分享经验
作者: hcyme    时间: 2021-11-13 10:42
喜欢ban IP,拿来试试
作者: steven52880    时间: 2021-11-13 10:50
发生甚么事了?
作者: 二氧化碳    时间: 2021-11-13 10:51
提示: 作者被禁止或删除 内容自动屏蔽
作者: 燕十三丶    时间: 2021-11-13 10:52
Fail2ban 怎么样
作者: tian1781    时间: 2021-11-13 10:53
发生什么事情了
作者: aws    时间: 2021-11-13 10:56
1IP 网站不配被照顾
作者: 机长    时间: 2021-11-13 11:00
本帖最后由 机长 于 2021-11-13 11:02 编辑

我先来一波,刚好昨天整理的,保存为 black_ip.conf ,nginx server配置 include下。
  1. deny 49.84.213.0/24;
  2. deny 146.70.29.0/24;
  3. deny 36.2.0.0/18;
  4. deny 8.140.0.0/14;
  5. deny 103.206.20.0/23;
  6. deny 103.206.20.0/23;
  7. deny 36.150.0.0/17;
  8. deny 152.32.128.0/20;
  9. deny 27.115.112.0/20;
  10. deny 38.84.64.0/18;
  11. deny 39.104.0.0/14;
  12. deny 43.248.128.0/21;
  13. deny 34.124.128.0/17;
  14. deny 34.101.0.0/16;
  15. deny 143.198.0.0/15;
  16. deny 34.87.128.0/18;
  17. deny 52.255.128.0/17;
  18. deny 35.240.128.0/17;
  19. deny 27.159.92.0/24;
  20. deny 161.35.224.0/19;
  21. deny 167.71.192.0/18;
  22. deny 40.121.0.0/16;
  23. deny 178.128.16.0/20;
  24. deny 118.171.224.0/19;
  25. deny 42.236.0.0/19;
复制代码



作者: kaixinde    时间: 2021-11-13 11:08
低调了就行了
作者: weixiangnan    时间: 2021-11-13 11:09
支持
作者: treesky    时间: 2021-11-13 11:16
绑定                              
作者: 欧阳逍遥    时间: 2021-11-13 11:30
kaixinde 发表于 2021-11-13 11:08
低调了就行了

他们是通过扫站长平台 和 搜索引擎 还有广告联盟 获取的站点吧。
所以低调没用。
作者: 邮走于盛夏    时间: 2021-11-13 11:32
攻击ip?
作者: cobra1    时间: 2021-11-13 11:33
欧阳逍遥 发表于 2021-11-13 10:36
还是那句话,我的规则比较严格,可能存在很大概率误封正常用户的情况。
所以不建议放到https中,仅建议放到 ...

版主这样不会影响收录吗?
作者: 妖言惑众    时间: 2021-11-13 11:38
半个月前我也这么想的,主要是ssh和mail
作者: 欧阳逍遥    时间: 2021-11-13 11:41
cobra1 发表于 2021-11-13 11:33
版主这样不会影响收录吗?

帖子说的很明白了, 我主动过滤的一些搜索引擎的IP,但是没被过滤的或者误杀的IP肯定存在,所以要自己斟酌。 。 另外建议只放到 80 下  443 下不要屏蔽。
作者: 妖言惑众    时间: 2021-11-13 11:45
mail blacklist:
  1. 45.8.229.164
  2. 194.87.248.233
  3. 198.46.158.130
  4. 192.3.228.158
  5. 185.68.21.65
  6. 107.174.68.99
  7. 192.3.117.80
  8. 45.143.92.170
  9. 45.10.244.22
  10. 223.104.39.90
  11. 96.8.121.135
  12. 103.125.234.111
  13. 198.46.188.198
  14. 194.87.80.163
  15. 45.12.112.242
  16. 2.57.122.155
  17. 107.174.81.113
  18. 194.87.206.113
  19. 107.173.255.206
  20. 37.0.10.180
  21. 170.106.176.49
  22. 23.129.64.132
  23. 23.129.64.143
  24. 96.8.121.249
  25. 198.23.229.228
  26. 45.151.144.165
  27. 45.10.244.113
  28. 212.192.219.120
复制代码

作者: 欧阳逍遥    时间: 2021-11-13 11:48
妖言惑众 发表于 2021-11-13 11:38
半个月前我也这么想的,主要是ssh和mail

ssh 和 mail 的没用。。。。  我这里是 分析的  http 的日志,
作者: Reverie    时间: 2021-11-13 12:03
欧阳逍遥 发表于 2021-11-13 10:36
还是那句话,我的规则比较严格,可能存在很大概率误封正常用户的情况。
所以不建议放到https中,仅建议放到 ...

Cloudflare防火墙规则,用5秒盾就不容易误封正常用户,导入IP以及防火墙规则设置见下面教程


根据版主的IP已转换为Cloudflare列表支持的格式
(, 下载次数: 228)
作者: mjjok    时间: 2021-11-13 12:06
欧阳逍遥 发表于 2021-11-13 10:36
还是那句话,我的规则比较严格,可能存在很大概率误封正常用户的情况。
所以不建议放到https中,仅建议放到 ...

欧阳老头,搜索引擎的蜘蛛都过滤是什么意思

是屏蔽还是只允许

作者: mjjok    时间: 2021-11-13 12:08
Reverie 发表于 2021-11-13 12:03
Cloudflare防火墙规则,用5秒盾就不容易误封正常用户,导入IP以及防火墙规则设置见下面教程

这个可以有。
不过更详细一些就更好。
作者: 欧阳逍遥    时间: 2021-11-13 12:14
mjjok 发表于 2021-11-13 12:06
欧阳老头,搜索引擎的蜘蛛都过滤是什么意思

是屏蔽还是只允许

就是我筛选IP的时候 会 主动过滤 一些搜索引擎的IP 。  这个 banip 列表里 没有这些搜索引擎的IP 。

蜘蛛还能正常抓取。  但是  可能会有误封的情况。
作者: dole    时间: 2021-11-13 12:17
本帖最后由 dole 于 2021-11-13 12:18 编辑

学习一下 虽然不知道发生了什么 强制tls1.3加前端静态不知道受不受影响
作者: 翱翔的飞鹰    时间: 2021-11-13 12:33
这确实是个好帖。
作者: Reverie    时间: 2021-11-13 12:35
mjjok 发表于 2021-11-13 12:08
这个可以有。
不过更详细一些就更好。

以及很详细了,要是白到完全看不懂,假墙也不会来找你
作者: trips    时间: 2021-11-13 13:29
我前几天没事做.专门按省分配了IP看看哪些地方的IP会先死.
然后得到了如下数据..
重庆电信
陕西渭南移动
江苏泰州移动
海南陵水黎
云南丽江电信
河北邯郸电信
重庆电信
福建福州联通
湖南株洲电信       
浙江宁波电信
四川眉山电信       
河南济源移动       
北京联通
四川成都移动
广东广州移动       
内蒙古锡林
内蒙古巴彦淖尔联通
北京电信
辽宁鞍山电信       
浙江绍兴移动
福建漳州电信
广西柳州电信       
湖北孝感电信       
湖南常德联通       
海南琼海电信
江苏无锡联通
辽宁沈阳移动
广东潮州电信
河北唐山移动
这些省,市的会先挂.特别是重庆,四川,福建.后面我换了几次IP基本上不超过5分钟又死了
作者: davidsky2012    时间: 2021-11-13 14:46
楼主的想法很好,不过可惜的是这种防御方法对攻击者而言基本无效。攻击者现在很多都在攻击https,而且可以拿https协议来攻击http,这样nginx里的黑名单就完全失效了(因为协议不同,而且攻击者并不需要服务器返回内容——就是说即使nginx返回403或其他任何状态码,攻击者也已经成功了)。其实防御这类攻击还是要靠底层TCP/IP协议上来防御,是有一套方案的。
作者: 镜子里的我    时间: 2021-11-13 15:10
非常有必要的,赶紧收藏下
作者: 奈雅丽    时间: 2021-11-13 15:49
日1ip需要这个吗
作者: 灵颖虎    时间: 2021-11-13 16:35
ssh直接配置公钥登录,禁止密码就行了,顶多两个手机三个电脑配置一下,五个公钥就可以了,实在不行防火墙拦一下非本地地区的IP就行了,只允许你所在地的IP登录,这不是什么大问题。
主要要防御的是,http的爆破,这个可以设置访问限制。五秒分钟发超过一定数量的请求就禁止访问一天就好了
作者: 风影OvO    时间: 2021-11-13 16:43
支持
作者: 英语实在不好    时间: 2021-11-13 18:42
这类UA的是不是也是攻击者?Linux; Android 5.0; SM-G900P Build/LRX21T
作者: 昨晚上梦见你了    时间: 2021-11-21 10:00
学习学习
作者: jialin4567    时间: 2021-11-22 08:15
绑定一下
作者: 易小萌    时间: 2021-12-6 14:32
英语实在不好 发表于 2021-11-13 18:42
这类UA的是不是也是攻击者?Linux; Android 5.0; SM-G900P Build/LRX21T

我也遇到了 扫一上午了
作者: 海哥    时间: 2021-12-6 22:38
标价一下这个贴,回头弄



欢迎光临 全球主机交流论坛 (https://sunk.eu.org/) Powered by Discuz! X3.4