草庐IT

nginx网站被持续***1个月后最终防攻策略

qiaomiao209 2023-03-28 原文
nginx网站被持续被×××1个月后最终防攻策略

 

上上个月架构全部迁移上云以后,总的来说比较稳定,业务量也上来,可爱的坏人也来了,7X24小时不停恶意×××我的网站,第一次收到报警是网站流入流量1分钟以内连续3次超过1000000bps,换算下1M/s秒,平时没那么大流量的啊,当时刚好在朋友家玩,于赶紧开本本远程连接检查,发现全是访问同一个页面的请求,而且是正常访问http 200,应该是被恶意×××了。

发现问题
发现问题第一反应,赶紧将请求地址截图发给开发们看看,问问这个具体是什么?
最后得知是为短信验证码接口,据后来统计在被持续×××的一个多小时中损失16000多条短信。

 

解决问题:

一期防×××策略:
发现问题当然要立马解决了,当时思路就是统计nginx日志,当单个ip在10秒钟内访问 /account/sendPhoneCode次数超过5次,就禁用这个ip,正常用户不可能有么大的访问量,于是就有了下面的防***shell脚本。

这个脚本加在定时任务里每分钟执行一次,半夜0点自动重启动防火墙,释放IP,基本上防止了***,大概使用了半个月

#!/bin/bash #write: lijing QQ 858080796 #date:  20160528 v2.0 #description:拦截非法IP   #定义变量 RETVAL=0 Date=$(date '+%Y-%m-%d') Time=$(date '+%Y:%H:%M' -d '-1 minute') MON=$(date|awk -F" " '{print $2}') TODAY=$(date|awk -F" " '{print $3}') Log="/data/logs/nginx/access.log " LINE="70000"   #关键字 Key01="sendPhoneCode"   Status=/tmp/statuS_deny_ip   /sbin/service iptables status > $Status   #定义函数 #禁止时间函数 secure_deny_time(){ Time01=$(date "+%H:%M:%S" -d " -10 second") Time02=$(date "+%H:%M:%S" -d " -9  second") Time03=$(date "+%H:%M:%S" -d " -8  second") Time04=$(date "+%H:%M:%S" -d " -7  second") Time05=$(date "+%H:%M:%S" -d " -6  second") Time06=$(date "+%H:%M:%S" -d " -5  second") Time07=$(date "+%H:%M:%S" -d " -4  second") Time08=$(date "+%H:%M:%S" -d " -3  second") Time09=$(date "+%H:%M:%S" -d " -2  second") Time10=$(date "+%H:%M:%S" -d " -1  second")     echo  "$Time01  $Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 " } #       禁止关键字函数 secure_key(){     tail -n $LINE $LOG |grep "$TODAY\/$MON"|grep -v ^$|grep $TIME|grep $1 |grep $2 |grep $3  |grep $4 |awk -F " " '{print $1}' |sort >> $Deny     echo " grep "$TODAY\/$MON" $LOG |grep -v ^$|grep $TIME|grep $1 |grep $2 |grep $3  |grep $4 |awk '{print $1}' |sort"         } #执行防火墙拦截函数 secure_deny_ip() {         cat $Deny         echo ......................         cat $Deny02     for i in $IP;do         NUM=$(cat $Deny02|grep $i|awk -F" " '{print $1}')        if [ -z $NUM ];then             echo " "         else             if [ $NUM -ge $Dot ];then                 for y in $i;do                     grep $y $Status  >/dev/null 2>&1                      RETVAL=$?                                         [ $RETVAL != 0  ] && echo "/sbin/iptables -I INPUT -s $y  -j DROP" [ $RETVAL != 0  ] && /sbin/iptables -I INPUT -s $y  -j DROP                                          [ $RETVAL != 0  ] && echo "$(date "+%H:%M:%S") $y " >> /tmp/$Date                     #[ $RETVAL != 0  ] && /sbin/iptables -I INPUT -s $y -p  tcp  -j REJECT                 done             fi         fi     done }     NUMBER="1 2 3 4 5 6" for  NUMBER in  $NUMBER   ;do sleep 10s #定义点击次数 Dot Dot=5 Deny=/tmp/secure_deny_tmp_$NUMBER Deny02=/tmp/secure_deny_$NUMBER #第1次,检查当前时间以前10s.  如: 0-10秒 echo "第$NUMBER 次,检查当前时间以前第$NUMBER 个10s.大于 $Dot 次***阻止" echo > $Deny for LOG in `echo $Log` ;do     secure_deny_time     for TIME in $Time01  $Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 ;do         secure_key  $Key01      done        cat $Deny|sort|uniq -c > $Deny02             IP=$(cat $Deny02|awk -F" " '{print $2}')         secure_deny_ip  done done exit

二期防×××策略:

Shell脚本运行的半个月时间里,虽然防止了***,但是公司客服反馈有客户被误杀,最严重的是公司有次活动,10秒内发5个短信请求很正常啊,误杀了部分用户,被防火墙禁止IP不能访问任何服务于是得从nginx应用层找方法,不能用老套方法禁IP了,在网上在找几天的资料解决,几乎没有相同的案例,只能自己创造了。

天道酬勤,终于有了两个思路:
一是nginx结合lua来防***(在网上看得我云里雾里的,最后不会lua选择放弃这个方案)。
二是利用ngx_http_referer_module(当时看了2天官网英文资料,http://nginx.org/en/docs/http/ngx_http_referer_module.html,这个页面的让我找到方法,尤其是nginx的if 语句)。

对比***日志和正常日志发现,其$http-referer是不同的,如下图:
正常访问:

***访问:

最终解决思路:
        1、去掉了原来的 拦截ip策略,不载拦截ip。
        2、启用nignx的location 匹配/account 的$http-referer的过滤,当不是正常$http-referer,直接在再nginx处理。
Nginx配置如下:

location ~ /account(/.*)  {  if ($http_referer ~  "https://www.xxxxxxxx.net/account/sendPhoneCode") {    #如果匹配就直接返回200,返回404,也行啊,自己定。给可爱的***者,不传给后端web                 return 200;        }     #不匹配,传给后端web  proxy_pass  http://web_group/account/; }

整个防×××到现在没有出现任何问题,效果杠杠的。后期会增加第三期,主要是我们NB的开发,从程序级解决,如增加各种验证啊。

 

本文是 巧妙绝情 一个字一个图打出来,参考了好多资料,感谢他们的分享,基于open source分享精神,转载请注明出出。
支持我,请 用力 点击 巧妙绝情  谢谢


参考资料:

http://drops.wooyun.org/tips/734

http://nginx.org/en/docs/http/ngx_http_referer_module.html

http://www.ttlsa.com/nginx/nginx-referer

 

nginx网站nbspfontspan巧妙绝情nginx网站防攻策略持续***Nginx服务器

有关nginx网站被持续***1个月后最终防攻策略的更多相关文章

  1. ruby-on-rails - 如何优雅地重启 thin + nginx? - 2

    我的瘦服务器配置了nginx,我的ROR应用程序正在它们上运行。在我发布代码更新时运行thinrestart会给我的应用程序带来一些停机时间。我试图弄清楚如何优雅地重启正在运行的Thin实例,但找不到好的解决方案。有没有人能做到这一点? 最佳答案 #Restartjustthethinserverdescribedbythatconfigsudothin-C/etc/thin/mysite.ymlrestartNginx将继续运行并代理请求。如果您将Nginx设置为使用多个上游服务器,例如server{listen80;server

  2. ruby - Ping ruby 网站? - 2

    在Ruby中可以使用哪些替代方法来ping一个ip地址?标准库“ping”库的功能似乎非常有限。我对在这里滚动我自己的代码不感兴趣。有没有好的gem?我应该接受它并忍受它吗?(我在Linux上使用Ruby1.8.6编写代码) 最佳答案 net-ping值得一看。它允许TCPping(如标准ruby​​ping),但也允许UDP、HTTP和ICMPping。ICMPping需要root权限,但其他则不需要。 关于ruby-Pingruby网站?,我们在StackOverflow上找到一个类

  3. jenkins部署1--jenkins+gitee持续集成 - 2

    前置步骤我们都操作完了,这篇开始介绍jenkins的集成。话不多说,看操作1、登录进入jenkins后会让你选择安装插件,选择第一个默认的就行。安装完成后设置账号密码,重新登录。2、配置JDK和Git都需要执行路径,所以需要先把执行路径找到,先进入服务器的docker容器,2.1JDK的路径root@69eef9ee86cf:/usr/bin#echo$JAVA_HOME/usr/local/openjdk-82.2Git的路径root@69eef9ee86cf:/#whichgit/usr/bin/git3、先配置JDK和Git。点击:ManageJenkins>>GlobalToolCon

  4. ruby-on-rails - 获取当前月/年和下个月/年? - 2

    我正在尝试提取所有包含与当前月份/年份或下一个月年份匹配的字段的账单信息。例如,假设当前月份是2014年12月,我想要这样的内容:Billing.where(exp_month:12,exp_year:2014ORexp_month:1,exp_year:2015)该语法显然不正确,但它让您了解我所追求的。所以,这里的问题是...如何正确设置该查询的格式?如何获取该查询格式的当前/下个月/年份?我正在运行Ruby2.1.2。 最佳答案 Ruby的Date类提供了很多方法:first_of_month=Date.current.beg

  5. ruby-on-rails - 如何用不同的用户运行nginx主进程 - 2

    A/ctohttp://wiki.nginx.org/CoreModule#usermaster进程曾经以root用户运行,是否可以以不同的用户运行nginxmaster进程? 最佳答案 只需以非root身份运行init脚本(即/etc/init.d/nginxstart),就可以用不同的用户运行nginxmaster进程。如果这真的是你想要做的,你将需要确保日志和pid目录(通常是/var/log/nginx&/var/run/nginx.pid)对该用户是可写的,并且您所有的listen调用都是针对大于1024的端口(因为绑定(

  6. ruby - Sinatra session 未按预期持续 - 2

    我正在尝试使用Sinatra中的重定向和session在网站周围传递一些数据。这是一个简化的示例,使用PrettyPrint进行调试:require'pp'require'rubygems'require'sinatra'enable:sessionsget'/'dosession[:foo]='12345'puts'session1'ppsessionredirectto('/redir')endget'/redir'doputs'session2'ppsession'helloworld'end查看Thin的输出,我看到:>>Listeningon0.0.0.0:4567,CTRL

  7. ruby - 使用 Ruby 和 Mechanize 登录网站 - 2

    我需要从站点抓取数据,但它需要我先登录。我一直在使用hpricot成功地抓取其他网站,但我是使用mechanize的新手,我真的对如何使用它感到困惑。我看到这个例子经常被引用:require'rubygems'require'mechanize'a=Mechanize.newa.get('http://rubyforge.org/')do|page|#Clicktheloginlinklogin_page=a.click(page.link_with(:text=>/LogIn/))#Submittheloginformmy_page=login_page.form_with(:act

  8. ruby-on-rails - 覆盖 Controller 中的 protect_from_forgery 策略 - 2

    我想使用两种不同的protect_from_forgery策略构建一个Rails应用程序:一种用于Web应用程序,一种用于API。在我的应用程序Controller中,我有这行代码:protect_from_forgerywith::exception为了防止CSRF攻击,它工作得很好。在我的API命名空间中,我创建了一个继承self的应用程序Controller的api_controller,它是API命名空间中所有其他Controller的父类,我将上面的代码更改为:protect_from_forgery:null_session.遗憾的是,我在尝试发出POST请求时遇到错误:“

  9. 网站日志分析软件--让网站日志分析工作变得更简单 - 2

    网站的日志分析,是seo优化不可忽视的一门功课,但网站越大,每天产生的日志就越大,大站一天都可以产生几个G的网站日志,如果光靠肉眼去分析,那可能看到猴年马月都看不完,因此借助网站日志分析工具去分析网站日志,那将会使网站日志分析工作变得更简单。下面推荐两款网站日志分析软件。第一款:逆火网站日志分析器逆火网站日志分析器是一款功能全面的网站服务器日志分析软件。通过分析网站的日志文件,不仅能够精准的知道网站的访问量、网站的访问来源,网站的广告点击,访客的地区统计,搜索引擎关键字查询等,还能够一次性分析多个网站的日志文件,让你轻松管理网站。逆火网站日志分析器下载地址:https://pan.baidu.

  10. ruby-on-rails - 从带有 ruby​​ on rails 的网站获取 html - 2

    如何使用ruby​​onrails获取网络上某处其他网站的页面数据? 最佳答案 您可以使用httparty只是获取数据示例代码(来自example):requireFile.join(dir,'httparty')require'pp'classGoogleincludeHTTPartyformat:htmlend#google.comredirectstowww.google.comsothisislivetestforredirectionppGoogle.get('http://google.com')puts'','*'*7

随机推荐