这是一个创建于 1376 天前的主题,其中的信息可能已经有所发展或是发生改变。
我一个个人博客小破站,应该也没得罪谁,最近突然发现每小时接近 100 万的请求量,我还以为是我突然出名了,结果掏出 Nginx 日志一看,100 万请求中有 100 万都是 404 ,请求路径全部都是
wp/admin.php
think-php/exec.php
phpmyadmin/index.php
这类似的。
我知道大哥们在尝试扫我网站的漏掉,可我网站也没这些东西呀,每小时 100 万的请求,直接把我日志服务打挂了。想来问问,哪里可以向黑产大佬求饶不,我扛不住了
目前尝试办法:
1 、封 ip ,可是从日志上面看,大哥们是各种 ip 换着来,我也不知道大哥们有多少 ip
2 、根据 url 路径封,可是大哥们扫了几万个页面 URL ,这比我本身页面还多
第 1 条附言 · 2022-01-25 10:32:54 +08:00
我突然想到个损招,结合 27 楼和 59 楼大哥的思路,我决定往部分规则的 URL 里面投 GZIP 炸弹,哈哈哈
第 2 条附言 · 2022-01-25 17:43:03 +08:00
炸弹部署完毕,后续看看黑产大哥们反应如何,哈哈哈
https://www.jinnrry.com/2022/01/25/GzipBomb/
https://www.jinnrry.com/2022/01/25/GzipBomb/
 |
1
wellsc 2022-01-24 15:26:20 +08:00  30
可以融资了
|
 |
2
xarthur 2022-01-24 15:27:06 +08:00 2
cloudflare
|
 |
3
chihiro2014 2022-01-24 15:28:35 +08:00
cloudflare ,或者你限制每个 ip 的每分钟的请求次数
|
 |
4
Maxbee 2022-01-24 15:29:32 +08:00 10
话说能不能加上广告 /doge
|
 |
5
mywaiting 2022-01-24 15:29:48 +08:00
cloudflare 五秒盾,抵御这种无技术含量的 cc ,毫无压力啊
|
 |
6
leogm9408leo 2022-01-24 15:30:22 +08:00
恭喜,可以融资了
|
 |
7
lithiumii 2022-01-24 15:32:38 +08:00 6
分析一下日志,把高频页面跳转到 gov 网站
然后你就会被请喝茶了( |
 |
8
AutumnVerse OP |
 |
9
johopig 2022-01-24 15:33:35 +08:00 1
@leogm9408leo 老铁,这是什么梗呀
|
|
10
leogm9408leo 2022-01-24 15:38:05 +08:00
@johopig 您个人网站一个小时百万流量,这完爆各路大 V ,随便变个现就发财了
|
 |
11
ch2 2022-01-24 15:45:36 +08:00 via iPhone
把日志服务先关了,正好测测你自己抗不扛得住
|
 |
12
charliecaptain 2022-01-24 15:47:30 +08:00
加上这些网站,然后都加广告,赚大了
|
 |
13
pelloz 2022-01-24 15:48:36 +08:00 1
扫漏洞代价很低也是有代价的,别人花这么大流量扫你估计是因为你网站的某些特征满足了被扫的条件。你不想硬刚,就只能从自己身上找点原因....我估计,你的小站是 php 写的?是不是返回的 http 头包含了什么 server 信息,满足了包含漏洞的啥版本,或者你真的有啥 admin.php 之类的入口返回的不是 404 。总之,你别人脚本觉得你可能有漏洞比较好,不需要暴露的信息一点点都不要暴露。
|
 |
14
leipengcheng 2022-01-24 15:49:47 +08:00
把服务器关一个月
|
|
15
AutumnVerse OP @pelloz #13 http 头只有 nginx 版本信息,有一个管理页面是指定到 admin.xxxx.com 域名下面的
|
 |
16
mahone3297 2022-01-24 15:57:53 +08:00
不在乎,省钱,关机
在乎,费钱,上 waf |
 |
17
crab 2022-01-24 16:00:30 +08:00
把 404 不存在页面重定向随机某个存在的页面,这样扫个球。
|
 |
18
CodeCodeStudy 2022-01-24 16:02:42 +08:00
把域名解析到别的 IP
|
 |
19
bruce0 2022-01-24 16:02:42 +08:00
上广告可还行 /dog
|
 |
20
zhifSu 2022-01-24 16:03:45 +08:00
改端口
|
 |
21
coolmenu 2022-01-24 16:04:03 +08:00 1
404 页面弹出个人简历呀!
|
 |
22
Leonard 2022-01-24 16:05:04 +08:00 1
哈哈哈哈给这些页面上广告
|
 |
23
liuidetmks 2022-01-24 16:11:58 +08:00
|
 |
24
someonedeng 2022-01-24 16:12:43 +08:00
把日志关了,反正这种日志没啥用
|
 |
25
mazyi PRO 上广告真是一条不错的路子呀
|
 |
26
zoharSoul 2022-01-24 16:58:09 +08:00
200+的 qps, 我可以硬抗 /狗头
|
 |
27
orm 2022-01-24 17:03:14 +08:00 via iPhone 27
gzip 炸弹 http://da.dadaaierer.com/?p=577
|
 |
28
Itoktsnhc 2022-01-24 17:10:10 +08:00
报警?
|
 |
30
lilihangzhou 2022-01-24 17:58:28 +08:00
广告搞起来,这可都是流量啊,[手动狗头]
|
 |
31
ijustdo 2022-01-24 18:19:26 +08:00
上白名单, 存在的需要对外的 url 才能访问, 其它一律 403, 然后加上 ip 请求次数限制
|
 |
32
maxat20xx 2022-01-24 18:22:48 +08:00 via Android
上广告的都是人才…
|
 |
33
shyrock 2022-01-24 18:25:59 +08:00
@orm #27 看说明 gzip 炸弹是针对浏览器的。。。这漏洞扫描程序应该不会像真的浏览器一样解压缩 gzip 吧。。。
|
 |
34
xiaoding 2022-01-24 18:28:10 +08:00 2
可能你的网站的 ip 段正好是一个易被攻击的段。
封 url 和 ip 都可以解决的,ip 的话代理 ip 和秒拨 ip 都是有限的,url 的话自己可以找个安全扫描的字典,把字典里面的 url 拉黑 |
 |
36
yancy0l 2022-01-24 18:35:44 +08:00
这个上广告,估计无效吧,随机的页面访问,访问不到广告页,肯定是无效访问占 90%以上,而且,估计广告的模式,也有统计时长的设计,是不是 DDos 随便搞就行的。要不大家都发了
|
 |
37
FrankAdler 2022-01-24 19:21:43 +08:00
可以针对 404 的不写日志
|
 |
39
bmpidev2019 PRO 上 cloudflare 吧
|
 |
40
wanguorui123 2022-01-24 20:25:36 +08:00
没被 DDos 过
|
 |
41
felixcode 2022-01-24 20:40:12 +08:00
https://www.abuseipdb.com/
找几个类似网站报一下吧,既然解决不了,也不让对方舒坦。 |
 |
42
aru 2022-01-24 20:44:33 +08:00
fail2ban 写个自定义规则自动封 IP 就行了
|
 |
43
liuxu 2022-01-24 20:48:41 +08:00
1000000/3600=277 ,问题不大,随便一个小服务器就能抗,fail2ban 确实可以抗,cf 减速云
|
 |
44
jeeyong 2022-01-24 20:55:06 +08:00
无解...
我现在能调动的 IP 都大几百万个... 黑产大哥可能都更牛逼... |
 |
45
jackzhengjbs 2022-01-24 21:00:20 +08:00 via Android
@jeeyong 怎么抓的肉鸡啊?可以分享下嘛
|
|
46
jeeyong 2022-01-24 21:02:55 +08:00
@jackzhengjbs 我不抓肉鸡啊...
|
 |
49
datocp 2022-01-24 22:16:41 +08:00 via Android
如果带有扫端口就好办了,搜索一下 iptables recent hacker 。
其它的可以尝试用 quota 。这些就要熟悉相关命令用 shell 处理了。 |
 |
50
iBaoger 2022-01-24 22:21:49 +08:00 via Android
试试开源的 fail2ban
|
 |
51
CallMeReznov 2022-01-24 22:27:38 +08:00
|
 |
52
laoyur 2022-01-24 22:47:28 +08:00 2
说上广告的把我逗笑了
连正经访问都可能被鸡贼到扣量一麻麻,更何况这种异常流量? |
 |
53
v2eb 2022-01-24 23:09:16 +08:00
上家公司遇到过,转到澳门威尼斯
|
 |
54
shayuvpn0001 2022-01-24 23:15:17 +08:00 3
hw 的本还是先把 WPBT 解决了再说吧。。。
参考: https://www.zhihu.com/question/390155205/answer/1182942387 https://www.zhihu.com/question/390365275 PS:商务本是各家必争之地,每家都还有细分的: DELL - 入门商务 Vostro ,进阶 Inspiron ,高级 Latitude ,顶级 XPS/Precision 联想 - 入门 Yoga/ThinkBook/Thinkpad L14 ,进阶 Thinkpad T14/T14s ,高级 T15p ,顶级 Thinkpad X1 Carbon / X1 Extreme / P1 / P15 / P17 HP - 入门 Pavilion ,进阶 Probook/Zhan66 ,高级 EliteBook ,顶级 ZBook / ZBook Studio / ZBook |
 |
55
patx 2022-01-24 23:19:29 +08:00
设置 url 白名单,白名单外的 url 返回敏感词随机文本
|
 |
56
MacDows 2022-01-24 23:19:46 +08:00 via Android 4
@shayuvpn0001 你走错了
|
 |
57
dfourc 2022-01-24 23:26:04 +08:00 2
@shayuvpn0001 #54 哥们 走错贴了😂
|
|
58
shayuvpn0001 2022-01-24 23:26:26 +08:00
@MacDows 是的,又没办法删,贼尴尬。。。
|
 |
59
eason1874 2022-01-24 23:52:33 +08:00 16
机器人扫描的,没多少流量,而且是有规律的,写几条规则屏蔽就行了。比如
location ~ ^/(wp|think-php|phpmyadmin)/.*\.php$ { access_log off; log_not_found off; return 444; } 444 状态码表示不返回内容就直接断开连接,省流量。如果你的博客用到这些路径,那你就配置重写,放到子目录 |
 |
60
notgoda 2022-01-25 00:35:18 +08:00 via iPhone
|
 |
61
48y1951r9G8k7Zou 2022-01-25 00:37:47 +08:00 via iPhone
说接入广告的,是不了解广告平台的规则吧。。
这种是会被判定为恶意刷点击,被广告平台封号的 |
|
63
eason1874 2022-01-25 01:03:53 +08:00
@notgoda #60 对。但是我这个匹配规则是根据楼主提供的例子写的,要使用,还得根据自己的网站需求和日志去写。这些机器人扫描的是开源 CMS 文件路径和常见的备份文件名 sql 和 zip ,路径都是有规律的,看日志总结规律写进匹配规则就行了
|
 |
64
PolarBears 2022-01-25 01:22:01 +08:00
直接限制请求频率吧
|
 |
66
xuanbg 2022-01-25 08:02:05 +08:00
看标题还以为是被 ddos 了。点进来一看,好家伙,这不是脚本扫描嘛,简直正常得不得了,无视即可。
|
 |
67
winglight2016 2022-01-25 08:09:59 +08:00
在 404 页面放上管理员密码,再写一句,求大佬放过,或者把 404 之间转到管理登录页面,告诉他真正的目标,就不会疯狂乱扫了
|
 |
68
YaakovZiv 2022-01-25 09:09:08 +08:00
我第一个想到就是部署蜜罐产品,让对方沉浸在在入侵成功的喜悦中,可以安静很多天。
|
 |
69
zturns 2022-01-25 09:15:47 +08:00 via Android
我的 wordpress 站是被人暴力破解,安装了 wordfence 遇到攻击就屏蔽了
|
 |
70
byte10 2022-01-25 09:21:52 +08:00 2
@maxat20xx 我也是好奇,笑死我了😂。我想半天,别人不都是 http 客户端请求过来了嘛,跟广告有毛关系啊。我还以为我自己傻了,还好你出现,说明我还没傻。。。差点被评论整懵了 。
|
 |
71
noahzh 2022-01-25 10:15:01 +08:00
所有 404 都跳转到广告页.
|
|
73
AutumnVerse OP @eason1874 #59 好办法,多谢提醒
|
 |
74
justest123 2022-01-25 10:55:26 +08:00
说上广告的学会了!
|
 |
75
libook 2022-01-25 11:17:01 +08:00 1
看路径很显然是自动扫描漏洞的机器人,这种都是用云厂商的 IP 段,按照常见的漏洞库无差别扫的,扫到漏洞就会有黑产来拿肉鸡或者勒索。
封 IP 没用的,因为都是用代理池,成千上万个 IP ,而且可以做到喷洒攻击,每个 IP 频率跟正常用户差别不大,但顶不住 IP 量大。 要想简单粗暴就上 WAF 或人机验证,有些产品是有代理池 IP 库的,可以识别来的 IP 是不是机器人的代理,然后自动限制。 |
 |
76
iqoo 2022-01-25 11:43:10 +08:00
这种攻击 10 分钟搞定
|
 |
77
leafleave 2022-01-25 12:01:45 +08:00
过几天发个贴看看 gzip 炸弹效果如何?
|
 |
78
malusama 2022-01-25 12:07:21 +08:00
gzip 炸弹没用的..人家又不是浏览器. 不自动解压的
|
|
79
leafleave 2022-01-25 12:09:19 +08:00 1
给他重定向到挖矿脚本网站如何
|
 |
81
2i2Re2PLMaDnghL 2022-01-25 13:06:19 +08:00
@malusama OP 发的是管理页面,可能会分析 HTTP 载荷判断是管理页面还是空页面;如果某个管理页面的 CSRF Token 嵌在页面内的话还必须读出来。
|
 |
82
raysonlu 2022-01-25 14:10:28 +08:00
我不信能有无穷的 ip 资源,稍微用 php 中用 redis 记录一个 ip 如果一分钟内访问了两次 404 路径,立马在入口最开始的地方拦截返回 404 。拉黑的 ip 放一块儿定期拉出来写入 fail2ban 。当然还可以人为或代码判断,直接对某段 ip 拉闸。期待 op 后续更新
|
 |
83
wonderfulcxm 2022-01-25 14:12:39 +08:00 via iPhone
外行太多了吧,这种怎么可能用得上广告
|
 |
84
triptipstop 2022-01-25 14:28:00 +08:00
反正是没有价值的网站,直接把域名解析到 127.0.0.1 就行了。
|
 |
85
supuwoerc 2022-01-25 14:33:15 +08:00
100 万请求中有 100 万都是 404 ,说起来有些心酸了,活人没有一个(落泪狗头)
|
 |
86
WWwwMMmmMMmmWWww 2022-01-25 14:59:57 +08:00
别上广告 不然谷歌可能倒扣你钱。因为你涉及到刷量浪费谷歌的流量,不会给你广告费还要你支付服务器流量费用。
|
 |
87
yundun2021 2022-01-25 16:39:14 +08:00
可以试着帮你解决看看
|
 |
88
tankren 2022-01-25 16:58:39 +08:00
做一个页面塞满广告
404 跳转到这个页面 |
 |
90
guyeu 2022-01-25 21:21:05 +08:00
nginx 白名单呗,白名单以外的 path 统统拒绝
|
 |
91
muzuiget 2022-01-25 22:16:49 +08:00
正经就只有上 Cloudflare 这种东西防,挂广告 /重定先 /压缩炸弹都是自我娱乐,人家都黑产了,还以为对方用 headless 浏览器之类的来访问?
|
 |
93
JensenQian 2022-01-26 00:53:58 +08:00 via Android
直接 hexo,hugo ,gridea 这种静态化博客,放 cloudflare pages 上,随便他玩去
|
|
94
muzuiget 2022-01-26 02:00:17 +08:00
@sadfQED2 没有用的,对方客户端可以不读取 body 部分的,就读取 header 部分,判断一下相关网址是否存在停了。还是那句,人家都搞黑产了,有专门工具,不要以为人家还用浏览器那一套标准来“友善地”访问服务器。
|
 |
95
LeeReamond 2022-01-26 04:27:22 +08:00
话说感觉 gzip 炸弹还是应该升级一下,很有必要。1M 的 body 别说有没有用,先把自己搞死是肯定了。。
|
 |
96
jiuhuicinv 2022-01-26 05:56:42 +08:00
限制请求频率
|
 |
98
sadfQED2 2022-01-26 08:43:03 +08:00 via Android
@muzuiget 他如果要扫漏洞,不解析 body 怎么知道有没有漏洞,只知道有 admin 页面也没用呀,总得解析出来吧
|
 |
99
funbox 2022-01-26 09:12:35 +08:00
GZIP 炸弹 带宽不会被拖垮?
|
Select Language