这是一个创建于 119 天前的主题,其中的信息可能已经有所发展或是发生改变。
我一个个人博客小破站,应该也没得罪谁,最近突然发现每小时接近 100 万的请求量,我还以为是我突然出名了,结果掏出 Nginx 日志一看,100 万请求中有 100 万都是 404 ,请求路径全部都是
wp/admin.php
think-php/exec.php
phpmyadmin/index.php
这类似的。
我知道大哥们在尝试扫我网站的漏掉,可我网站也没这些东西呀,每小时 100 万的请求,直接把我日志服务打挂了。想来问问,哪里可以向黑产大佬求饶不,我扛不住了
目前尝试办法:
1 、封 ip ,可是从日志上面看,大哥们是各种 ip 换着来,我也不知道大哥们有多少 ip
2 、根据 url 路径封,可是大哥们扫了几万个页面 URL ,这比我本身页面还多
第 1 条附言 · 118 天前
我突然想到个损招,结合 27 楼和 59 楼大哥的思路,我决定往部分规则的 URL 里面投 GZIP 炸弹,哈哈哈
第 2 条附言 · 118 天前
炸弹部署完毕,后续看看黑产大哥们反应如何,哈哈哈
https://www.jinnrry.com/2022/01/25/GzipBomb/
https://www.jinnrry.com/2022/01/25/GzipBomb/
 |
1
wellsc 119 天前  29
可以融资了
|
 |
2
xarthur 119 天前 2
cloudflare
|
 |
3
chihiro2014 119 天前
cloudflare ,或者你限制每个 ip 的每分钟的请求次数
|
 |
4
Maxbee 119 天前 10
话说能不能加上广告 /doge
|
 |
5
mywaiting 119 天前
cloudflare 五秒盾,抵御这种无技术含量的 cc ,毫无压力啊
|
 |
6
leogm9408leo 119 天前
恭喜,可以融资了
|
 |
7
lithiumii 119 天前 5
分析一下日志,把高频页面跳转到 gov 网站
然后你就会被请喝茶了( |
 |
8
jiangwei2222 OP |
 |
9
johopig 119 天前 1
@leogm9408leo 老铁,这是什么梗呀
|
|
10
leogm9408leo 119 天前
@johopig 您个人网站一个小时百万流量,这完爆各路大 V ,随便变个现就发财了
|
 |
11
ch2 119 天前 via iPhone
把日志服务先关了,正好测测你自己抗不扛得住
|
 |
12
charliecaptain 119 天前
加上这些网站,然后都加广告,赚大了
|
 |
13
pelloz 119 天前 1
扫漏洞代价很低也是有代价的,别人花这么大流量扫你估计是因为你网站的某些特征满足了被扫的条件。你不想硬刚,就只能从自己身上找点原因....我估计,你的小站是 php 写的?是不是返回的 http 头包含了什么 server 信息,满足了包含漏洞的啥版本,或者你真的有啥 admin.php 之类的入口返回的不是 404 。总之,你别人脚本觉得你可能有漏洞比较好,不需要暴露的信息一点点都不要暴露。
|
 |
14
leipengcheng 119 天前
把服务器关一个月
|
|
15
jiangwei2222 OP @pelloz #13 http 头只有 nginx 版本信息,有一个管理页面是指定到 admin.xxxx.com 域名下面的
|
 |
16
mahone3297 119 天前
不在乎,省钱,关机
在乎,费钱,上 waf |
 |
17
crab 119 天前
把 404 不存在页面重定向随机某个存在的页面,这样扫个球。
|
 |
18
CodeCodeStudy 119 天前
把域名解析到别的 IP
|
 |
19
bruce0 119 天前
上广告可还行 /dog
|
 |
20
zhifSu 119 天前
改端口
|
 |
21
coolmenu 119 天前 1
404 页面弹出个人简历呀!
|
 |
22
Leonard 119 天前 1
哈哈哈哈给这些页面上广告
|
 |
23
liuidetmks 119 天前
|
 |
24
someonedeng 119 天前
把日志关了,反正这种日志没啥用
|
 |
25
mazyi 119 天前
上广告真是一条不错的路子呀
|
 |
26
zoharSoul 119 天前
200+的 qps, 我可以硬抗 /狗头
|
 |
27
orm 119 天前 via iPhone 26
gzip 炸弹 http://da.dadaaierer.com/?p=577
|
 |
28
Itoktsnhc 119 天前
报警?
|
 |
30
lilihangzhou 119 天前
广告搞起来,这可都是流量啊,[手动狗头]
|
 |
31
ijustdo 119 天前
上白名单, 存在的需要对外的 url 才能访问, 其它一律 403, 然后加上 ip 请求次数限制
|
 |
32
maxat20xx 119 天前 via Android
上广告的都是人才…
|
 |
34
xiaoding 119 天前 2
可能你的网站的 ip 段正好是一个易被攻击的段。
封 url 和 ip 都可以解决的,ip 的话代理 ip 和秒拨 ip 都是有限的,url 的话自己可以找个安全扫描的字典,把字典里面的 url 拉黑 |
 |
36
yancy0l 119 天前
这个上广告,估计无效吧,随机的页面访问,访问不到广告页,肯定是无效访问占 90%以上,而且,估计广告的模式,也有统计时长的设计,是不是 DDos 随便搞就行的。要不大家都发了
|
 |
37
FrankAdler 119 天前
可以针对 404 的不写日志
|
 |
39
bmpidev2019 119 天前 via iPhone
上 cloudflare 吧
|
 |
40
wanguorui123 119 天前
没被 DDos 过
|
 |
41
felixcode 119 天前
https://www.abuseipdb.com/
找几个类似网站报一下吧,既然解决不了,也不让对方舒坦。 |
 |
42
aru 119 天前
fail2ban 写个自定义规则自动封 IP 就行了
|
 |
43
liuxu 119 天前
1000000/3600=277 ,问题不大,随便一个小服务器就能抗,fail2ban 确实可以抗,cf 减速云
|
 |
44
jeeyong 119 天前
无解...
我现在能调动的 IP 都大几百万个... 黑产大哥可能都更牛逼... |
 |
45
jackzhengjbs 119 天前 via Android
@jeeyong 怎么抓的肉鸡啊?可以分享下嘛
|
|
46
jeeyong 119 天前
@jackzhengjbs 我不抓肉鸡啊...
|
 |
49
datocp 119 天前 via Android
如果带有扫端口就好办了,搜索一下 iptables recent hacker 。
其它的可以尝试用 quota 。这些就要熟悉相关命令用 shell 处理了。 |
 |
50
iBaoger 119 天前 via Android
试试开源的 fail2ban
|
 |
51
CallMeReznov 119 天前
|
 |
52
laoyur 119 天前 2
说上广告的把我逗笑了
连正经访问都可能被鸡贼到扣量一麻麻,更何况这种异常流量? |
 |
53
v2eb 119 天前
上家公司遇到过,转到澳门威尼斯
|
 |
54
shayuvpn0001 119 天前 3
hw 的本还是先把 WPBT 解决了再说吧。。。
参考: https://www.zhihu.com/question/390155205/answer/1182942387 https://www.zhihu.com/question/390365275 PS:商务本是各家必争之地,每家都还有细分的: DELL - 入门商务 Vostro ,进阶 Inspiron ,高级 Latitude ,顶级 XPS/Precision 联想 - 入门 Yoga/ThinkBook/Thinkpad L14 ,进阶 Thinkpad T14/T14s ,高级 T15p ,顶级 Thinkpad X1 Carbon / X1 Extreme / P1 / P15 / P17 HP - 入门 Pavilion ,进阶 Probook/Zhan66 ,高级 EliteBook ,顶级 ZBook / ZBook Studio / ZBook |
 |
55
patx 119 天前
设置 url 白名单,白名单外的 url 返回敏感词随机文本
|
 |
56
MacDows 119 天前 via Android 4
@shayuvpn0001 你走错了
|
 |
57
galikeoy 119 天前 2
@shayuvpn0001 #54 哥们 走错贴了😂
|
|
58
shayuvpn0001 119 天前
@MacDows 是的,又没办法删,贼尴尬。。。
|
 |
59
eason1874 119 天前 16
机器人扫描的,没多少流量,而且是有规律的,写几条规则屏蔽就行了。比如
location ~ ^/(wp|think-php|phpmyadmin)/.*\.php$ { access_log off; log_not_found off; return 444; } 444 状态码表示不返回内容就直接断开连接,省流量。如果你的博客用到这些路径,那你就配置重写,放到子目录 |
 |
61
majula 119 天前 via iPhone
说接入广告的,是不了解广告平台的规则吧。。
这种是会被判定为恶意刷点击,被广告平台封号的 |
|
63
eason1874 119 天前
@notgoda #60 对。但是我这个匹配规则是根据楼主提供的例子写的,要使用,还得根据自己的网站需求和日志去写。这些机器人扫描的是开源 CMS 文件路径和常见的备份文件名 sql 和 zip ,路径都是有规律的,看日志总结规律写进匹配规则就行了
|
 |
64
PolarBears 119 天前
直接限制请求频率吧
|
 |
66
xuanbg 119 天前
看标题还以为是被 ddos 了。点进来一看,好家伙,这不是脚本扫描嘛,简直正常得不得了,无视即可。
|
 |
67
winglight2016 119 天前
在 404 页面放上管理员密码,再写一句,求大佬放过,或者把 404 之间转到管理登录页面,告诉他真正的目标,就不会疯狂乱扫了
|
 |
68
YaakovZiv 118 天前
我第一个想到就是部署蜜罐产品,让对方沉浸在在入侵成功的喜悦中,可以安静很多天。
|
 |
69
zturns 118 天前 via Android
我的 wordpress 站是被人暴力破解,安装了 wordfence 遇到攻击就屏蔽了
|
 |
70
byte10 118 天前 1
@maxat20xx 我也是好奇,笑死我了😂。我想半天,别人不都是 http 客户端请求过来了嘛,跟广告有毛关系啊。我还以为我自己傻了,还好你出现,说明我还没傻。。。差点被评论整懵了 。
|
 |
71
noahzh 118 天前
所有 404 都跳转到广告页.
|
|
73
jiangwei2222 OP @eason1874 #59 好办法,多谢提醒
|
 |
74
justest123 118 天前
说上广告的学会了!
|
 |
75
libook 118 天前 1
看路径很显然是自动扫描漏洞的机器人,这种都是用云厂商的 IP 段,按照常见的漏洞库无差别扫的,扫到漏洞就会有黑产来拿肉鸡或者勒索。
封 IP 没用的,因为都是用代理池,成千上万个 IP ,而且可以做到喷洒攻击,每个 IP 频率跟正常用户差别不大,但顶不住 IP 量大。 要想简单粗暴就上 WAF 或人机验证,有些产品是有代理池 IP 库的,可以识别来的 IP 是不是机器人的代理,然后自动限制。 |
 |
76
iqoo 118 天前
这种攻击 10 分钟搞定
|
 |
77
leafleave 118 天前
过几天发个贴看看 gzip 炸弹效果如何?
|
 |
78
malusama 118 天前
gzip 炸弹没用的..人家又不是浏览器. 不自动解压的
|
|
79
leafleave 118 天前 1
给他重定向到挖矿脚本网站如何
|
 |
81
2i2Re2PLMaDnghL 118 天前
@malusama OP 发的是管理页面,可能会分析 HTTP 载荷判断是管理页面还是空页面;如果某个管理页面的 CSRF Token 嵌在页面内的话还必须读出来。
|
 |
82
raysonlu 118 天前
我不信能有无穷的 ip 资源,稍微用 php 中用 redis 记录一个 ip 如果一分钟内访问了两次 404 路径,立马在入口最开始的地方拦截返回 404 。拉黑的 ip 放一块儿定期拉出来写入 fail2ban 。当然还可以人为或代码判断,直接对某段 ip 拉闸。期待 op 后续更新
|
 |
83
wonderfulcxm 118 天前 via iPhone
外行太多了吧,这种怎么可能用得上广告
|
 |
84
triptipstop 118 天前
反正是没有价值的网站,直接把域名解析到 127.0.0.1 就行了。
|
 |
85
supuwoerc 118 天前
100 万请求中有 100 万都是 404 ,说起来有些心酸了,活人没有一个(落泪狗头)
|
 |
86
WWwwMMmmMMmmWWww 118 天前
别上广告 不然谷歌可能倒扣你钱。因为你涉及到刷量浪费谷歌的流量,不会给你广告费还要你支付服务器流量费用。
|
 |
87
yundun2021 118 天前
可以试着帮你解决看看
|
 |
88
tankren 118 天前
做一个页面塞满广告
404 跳转到这个页面 |
 |
90
guyeu 118 天前
nginx 白名单呗,白名单以外的 path 统统拒绝
|
 |
91
muzuiget 118 天前
正经就只有上 Cloudflare 这种东西防,挂广告 /重定先 /压缩炸弹都是自我娱乐,人家都黑产了,还以为对方用 headless 浏览器之类的来访问?
|
 |
93
JensenQian 118 天前 via Android
直接 hexo,hugo ,gridea 这种静态化博客,放 cloudflare pages 上,随便他玩去
|
|
94
muzuiget 118 天前
@sadfQED2 没有用的,对方客户端可以不读取 body 部分的,就读取 header 部分,判断一下相关网址是否存在停了。还是那句,人家都搞黑产了,有专门工具,不要以为人家还用浏览器那一套标准来“友善地”访问服务器。
|
 |
95
LeeReamond 118 天前
话说感觉 gzip 炸弹还是应该升级一下,很有必要。1M 的 body 别说有没有用,先把自己搞死是肯定了。。
|
 |
96
jiuhuicinv 118 天前
限制请求频率
|
 |
99
funbox 117 天前
GZIP 炸弹 带宽不会被拖垮?
|
Select Language