|
马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。
您需要 登录 才可以下载或查看,没有帐号?立即注册
x
欢迎大家来到仓酷云论坛!帮伴侣保护他谁人网站的办事器,比来俄然流量年夜涨,办事器压力也陡增。上往看了一下nginx日记,有大批的POST某几个特定php哀求,一个IP一秒钟就POST四五个。基础都是甚么reg.php,login.php,article_add.php这一类的。分明是一群装了主动发帖机的肉鸡大概团体机在举行打击。
说难听点,也就是发点告白贴,说欠好了,挂点木马甚么的也是难说的。固然说这个网站的服装论坛和背景的php已没有那些注册发贴机能够使用的毛病了,完整是白刷,可是也相称的损耗体系资本和带宽。每次哀求也城市转到后端往挪用mysql甚么的。一般会见都巨慢,原本流量就无限,不带这么玩的。
办事器是我给装的FreeBSD,十分不乱,也编译了内核加载了ipfw,对照好办。不外一入手下手太小视这帮孙子了,实验手工***,过滤出IP今后,手工运转ipfw封ip,了局弄了一个多小时,仍是没完没了的,就爽性写两个剧本来干这事,放到crontab内里主动跑。
剧本一:过滤主动发贴IP--tail.sh- #!/bin/shtail-F/var/log/nginx-access.log|grep-E"/member/article_add.php|/member/login.php|/include/vdimgck.php"|awk{print$1}|grep-vyour_admin_ip>>/usr/local/etc/nginx/ipfw.rules.tmp&
复制代码 具体讲授一下,tail-F是不休的转动日记,-F代表不管日记是不是rotate,都转动这个文件名。跟-f是有区分的。然后grep正则婚配多个过滤前提,然后用awk打印ip,然后往失落你本人的远端办理ip,追加输入给一个叫ipfw.rules.tmp的一时文件。
剧本一实行一次便可,无需反复实行。
剧本二:注册机IP往重,放进ipfw剧本中--ipfw.sh- #!/bin/shcat/usr/local/etc/nginx/ipfw.rules.tmp|sort-u>/usr/local/etc/nginx/ipfw.rulesipfw-fflushipfwadd00100allowipfromanytoanyvialo0ipfwadd00200denyipfromanyto127.0.0.0/8ipfwadd00300denyipfrom127.0.0.0/8toanyipfwadd00400denyipfromanyto::1ipfwadd00500denyipfrom::1toanyipfwadd00600allowipv6-icmpfrom::toff02::/16ipfwadd00700allowipv6-icmpfromfe80::/10tofe80::/10ipfwadd00800allowipv6-icmpfromfe80::/10toff02::/16ipfwadd00900allowipv6-icmpfromanytoanyip6icmp6types1ipfwadd01000allowipv6-icmpfromanytoanyip6icmp6types2,135,136ipfwadd10010denyudpfromanytoany80seq=10100foriin$(cat/usr/local/etc/nginx/ipfw.rules);doipfwadd$seqdenyallfrom$itoany80seq=$(($seq+1))done
复制代码 逐行注释一下
02.将剧本平生成的一时文件排序往重后放进新的文件中(将第二行交换成上面这行就是***C类的IP地点段了)- cat/usr/local/etc/nginx/ipfw.rules.tmp|awk-F.{print$1"."$2"."$3".0/24"}|sort-u>/usr/local/etc/nginx/ipfw.rules
复制代码 04.强迫删除一切ipfw划定规矩
06-15.ipfw原有默许划定规矩。04行删除,要从头补归去。
17.回绝80端口udp毗连,就是所谓的阿拉丁DDoS打击
19.划定规矩序号,从10100入手下手
20.轮回往重后的ip地点列表
21.ipfw增加到划定规矩$seq序号,回绝一切来自$i就任意的80端口毗连
22.序号累加。
ipfw能够在一个划定规矩序号里增加多个ip,之以是做了序号累加,次要是ipfw在删除某个划定规矩时,是依照划定规矩序号删除,不是依照ip删除。都放在一个内里,一删就全删了。假如有哪一个特定ip必要会见网站,只需删除对应的单个序号就行了。
剧本放进crontab内里,每12小时运转一次,实在我手工运转了几回,2个多小时,已***了快要300个ip了,以福建莆田的ip最多,其次是厦门,泉州,福州的IP。其他各省也有一些,可是很少。
上谷歌查了一下,福建的莆田,厦门,泉州是天下渣滓邮件和渣滓帖子最年夜的集散地。看到这三个中央的IP,间接封IP段就对了,27.159.0.0/16,就如许封,不必留体面。
熟习iptables,把剧本改成iptables,就能够用在linux上面了。
这些服装论坛主动注册发贴机其实是厌恶的要逝世。
另有个注重事项,tail的内容,能够间接打印在屏幕上,可是往磁盘上写是有缓冲的,也就是体系输出输入的buffer,这个buffer要积累到达16k才会往磁盘上写进并flush失落。以是,假如打击ip很少的话,一入手下手创立的一时文件其实不会即刻吸收到内容,必要等一会才能够。
欢迎大家来到仓酷云论坛! |
|