V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
wangking
V2EX  ›  服务器

一个什么都没有的 nginx 服务器被人 post 和 get 一些网页

  •  
  •   wangking · 2018-07-04 17:06:18 +08:00 · 4751 次点击
    这是一个创建于 2336 天前的主题,其中的信息可能已经有所发展或是发生改变。

    日志如下:

    122.114.168.174 - - [04/Jul/2018:04:05:53 +0800] "POST /db_session.init.php HTTP/1.1" 404 633 "-" "Mozilla/5.0"

    122.114.168.174 - - [04/Jul/2018:04:05:55 +0800] "POST /mx.php HTTP/1.1" 404 633 "-" "Mozilla/5.0"

    122.114.168.174 - - [04/Jul/2018:04:05:57 +0800] "POST /7788.php HTTP/1.1" 404 633 "-" "Mozilla/5.0"

    122.114.168.174 - - [04/Jul/2018:04:05:59 +0800] "GET /phpmyadmin/index.php HTTP/1.1" 404 633 "-" "Mozilla/5.0"

    122.114.168.174 - - [04/Jul/2018:04:05:59 +0800] "POST /sheep.php HTTP/1.1" 404 633 "-" "Mozilla/5.0"

    122.114.168.174 - - [04/Jul/2018:04:05:59 +0800] "GET /phpMyAdmin/index.php HTTP/1.1" 404 633 "-" "Mozilla/5.0"

    122.114.168.174 - - [04/Jul/2018:04:06:00 +0800] "GET /pmd/index.php HTTP/1.1" 404 633 "-" "Mozilla/5.0"

    这是不断的去尝试获取我的网页。

    这个攻击叫什么?

    怎么防?

    又不能 deny all

    22 条回复    2018-07-05 10:16:14 +08:00
    ywgx
        1
    ywgx  
       2018-07-04 17:17:47 +08:00
    没什么大惊小怪的,这是一种正常现象,任何在 web 上的网站,都会遇到
    wangking
        2
    wangking  
    OP
       2018-07-04 17:23:10 +08:00
    @ywgx ok,主要是想干掉他
    yamedie
        3
    yamedie  
       2018-07-04 17:28:47 +08:00
    你可以造个轮子, 把这些尝试捅服务器菊花的 ip 加到 iptables 防火墙黑名单里. 拉黑 ssh 暴力穷举的轮子已经有了, 这种不知道有没有.
    katsusan
        4
    katsusan  
       2018-07-04 17:31:28 +08:00
    咋都是 php 的路径呢 (狗头)
    fatttt
        5
    fatttt  
       2018-07-04 17:31:30 +08:00 via Android
    waf?
    ThirdFlame
        6
    ThirdFlame  
       2018-07-04 17:33:27 +08:00
    猜路径而已。
    xiaoz
        7
    xiaoz  
       2018-07-04 17:35:28 +08:00
    @yamedie fail2ban 不正好满足这个需求么
    yamedie
        8
    yamedie  
       2018-07-04 17:39:32 +08:00
    @xiaoz 不,这个是防 ssh 爆破的, 不适用楼主遇到的"探测管理后台登录页面"这种情况
    haimall
        9
    haimall  
       2018-07-04 17:40:45 +08:00 via Android
    试试 fikker 防 cc
    wemore
        10
    wemore  
       2018-07-04 17:45:44 +08:00 via Android
    请求 404 次数太多送他小黑屋
    SoulGem
        11
    SoulGem  
       2018-07-04 18:21:45 +08:00 via iPhone
    php 躺枪,黑什么都先搞我
    xiaoz
        12
    xiaoz  
       2018-07-04 18:49:51 +08:00
    @yamedie 仅仅防 ssh 有点小看 fail2ban 了,fai2ban 可监测 FTP、nginx、apache 日志,防止 FTP 爆破,防 CC 攻击这些都没问题。
    miyuki
        13
    miyuki  
       2018-07-04 18:51:27 +08:00
    在开放互联网里,这是家常便饭,断网就没了
    bipeng0405
        14
    bipeng0405  
       2018-07-04 19:21:36 +08:00 via iPad
    看来访问量并不是很多,我的网站都懒得去看这些信息了
    alex321
        15
    alex321  
       2018-07-04 19:35:38 +08:00 via Android
    fail2ban 满足你,还可以自行扩充策略。
    newworld
        16
    newworld  
       2018-07-04 20:17:59 +08:00
    @yamedie #8 你对 fail2ban 一无所知 这个规则 你仔细看看
    [Definition]
    failregex = <HOST> -.*- .*HTTP/*.* 404 .*$
    ignoreregex =
    lihongming
        17
    lihongming  
       2018-07-04 20:37:36 +08:00 via Android
    扫描肉鸡而已,不是针对你
    Vhc001
        18
    Vhc001  
       2018-07-04 20:40:02 +08:00
    题主第一次接触 Web 服务器吧,哈哈
    wdlth
        19
    wdlth  
       2018-07-04 21:40:12 +08:00
    @SoulGem 要是 Struts 2,估计 LZ 连日志都看不到了……
    wangking
        20
    wangking  
    OP
       2018-07-05 10:15:02 +08:00
    @bipeng0405 就我自己和 2 个朋友在用。
    wangking
        21
    wangking  
    OP
       2018-07-05 10:15:24 +08:00
    @alex321 下午看一下
    wangking
        22
    wangking  
    OP
       2018-07-05 10:16:14 +08:00
    @Vhc001 以前,没有 care 这个
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1321 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 25ms · UTC 23:35 · PVG 07:35 · LAX 15:35 · JFK 18:35
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.