se7en 发表于 2017-5-19 20:03:03

请教技术达人,index.php文件被攻击,如何用nginx规则防御

forum.php?mod=attachment&aid=OTU5MTF8MTdlODQ1ZGF8MTUzODIxMzUwMnwxMjgwN3wzNjY4NDA%3D&noupdate=yes&nothumb=yes

网站被 攻击 上面是日志。
请教下大家 如何防御
有高手说,匹配到index.php 然后 refrre是首页index就返回502
不到php层次即可


请问具体如何操作呀

62900015 发表于 2017-5-19 23:07:38

根据日志封IP
cat 80host.com.log | grep 'Mozilla/5.0' | awk '{print "iptables -I INPUT -p tcp --dport 80 -s ", $1, "-j DROP"}'| sort -n | uniq | sh

根据日志统计IP
cat 80host.com.log | egrep -o "{1,3}\.{1,3}\.{1,3}\.{1,3}" | sort | uniq -c | sort -nr

根据日志blackhole
cat 80host.com.log | grep 'WordPress' | awk '{print "ip route add blackhole ", $1}'| sort -n | uniq | sh

62900015 发表于 2017-5-20 10:13:00

匹配user-agent吧

优秀的苦瓜 发表于 2017-5-19 20:16:29

关机,一劳永逸

se7en 发表于 2017-5-19 20:16:46


62900015 发表于 2017-5-19 20:16

匹配user-agent吧
具体如何操作呀

62900015 发表于 2017-5-19 20:21:40

[*]if ($http_user_agent ~* (Mozilla|Baidusider) ) {return 502;}
[*]if ($http_user_agent = "" ) {return 502;}
[*]if ( $request = "POST / HTTP/1.1" ) {return 502;}
[*]if ( $request = "POST / HTTP/1.0" ) {return 502;}
[*]if ( $request = "POST // HTTP/1.0" ) {return 502;}复制代码

deepflow 发表于 2017-5-19 20:16:00


62900015 发表于 2017-5-19 20:30

学习

yunran 发表于 2017-5-19 20:30:44

恕我直言,这样的防御并不能起到多大作用,听我的,把index文件删除就没问题了

lijihede 发表于 2017-6-9 18:07:00

return 502 还是会有流量产生,return 444 这个要高明一些。

冻猫 发表于 2017-5-19 22:01:17

百度蜘蛛啊,你在网站根目录弄个robots.txt不就好了
页: [1] 2
查看完整版本: 请教技术达人,index.php文件被攻击,如何用nginx规则防御