前些时日,有人恶意攻击本网站和服务器,开始时节奏较缓慢,重启下服务器即可,后来可不得了,进入服务器后台都无法进,只能停止网站,一启动运行网站,服务器秒蹦,然后,重启服务器第一件事就是停止网站,查看日志,发现服务器的数据库被频繁调用、网络层数据满载、应用层调用CPU和内容也满载的原因是有人利用本网站的Wordpress搜索功能,频繁执行搜索,有多频繁呢,大致计算每秒几千上万个请求进来吧,不秒蹦才怪。
本文目录
1UAUserAgent定义
2网络攻击UA分析
3UA数据下载
4UA正则表达式4.1UA使用正则表达式精准匹配:4.2UA使用正则表达式模糊匹配:
5其他防护方式
被攻击的服务器状态
事情发生的结点很有意义,先对服务器进行了各种补丁修复,没能解决问题,怀疑是阿里服务器被攻击没防住部分转移到该服务器上了,打电话问阿里是不是有这种可能,于是增加了阿里防火墙,开始变的稳定了,又问阿里怎么加了防火墙就没啥事了,却看不到攻击数据,得,这确实说不过去了,于是又开始不稳定,然后还是看不到数据。
后来发现阿里防火前基础版费用一年下来也不低,也挡不住攻击,如果按照其高端套餐下来,这一年费用可不少。于是,选择了宝塔面板的企业级/专业级宝塔防火墙。虽然配置上没有人帮忙(或得花钱),毕竟工具可以使用。基于问题的复杂性,找人帮忙也只能在复杂问题中获得部分帮助,于是米国生活自己来研究问题,解决问题,本文从UA说起。
UAUserAgent定义
用户代理(UserAgent,简称UA),是一个特殊字符串头,使得服务器能够识别客户使用的操作系统及版本、CPU类型、浏览器及版本、浏览器渲染引擎、浏览器语言、浏览器插件等。
网络攻击UA分析
从IP统计上来看,大量的IP来自郑州,且郑州电信、郑州联通,以及北京移动。之前的IP封掉之后,近期又新增了陕西阿里云等。
监控来访IP
大量来自某一地区
查询当日阿里云异常IP日志发现仍是/?s=搜索访问消耗服务器
具体详细搜索行为
搜索的中文URL解析
URL解析为中文形式
左青龙,右白虎,心不正,业不勤,以看上去是在做推广的方式,实际上在实施纯粹攻击的目的。
UA数据下载
通过宝塔面板可以购买专业企业版防火墙,根据系列工具分析下载Excel表格,会用到Excel综合排序、筛选、删除重复数据、条件格式-重复数据飘红等功能,进行UA数据的详细分析。
通过宝塔企业/专业工具下载的Excel
UA正则表达式
在进行
转载请注明:http://www.0431gb208.com/sjsbszl/4710.html
