一个什么都没有的 nginx 服务器被人 post 和 get 一些网页

2018-07-04 17:06:18 +08:00

wangking

日志如下：

122.114.168.174 - - [04/Jul/2018:04:05:53 +0800] "POST /db_session.init.php HTTP/1.1" 404 633 "-" "Mozilla/5.0"

122.114.168.174 - - [04/Jul/2018:04:05:55 +0800] "POST /mx.php HTTP/1.1" 404 633 "-" "Mozilla/5.0"

122.114.168.174 - - [04/Jul/2018:04:05:57 +0800] "POST /7788.php HTTP/1.1" 404 633 "-" "Mozilla/5.0"

122.114.168.174 - - [04/Jul/2018:04:05:59 +0800] "GET /phpmyadmin/index.php HTTP/1.1" 404 633 "-" "Mozilla/5.0"

122.114.168.174 - - [04/Jul/2018:04:05:59 +0800] "POST /sheep.php HTTP/1.1" 404 633 "-" "Mozilla/5.0"

122.114.168.174 - - [04/Jul/2018:04:05:59 +0800] "GET /phpMyAdmin/index.php HTTP/1.1" 404 633 "-" "Mozilla/5.0"

122.114.168.174 - - [04/Jul/2018:04:06:00 +0800] "GET /pmd/index.php HTTP/1.1" 404 633 "-" "Mozilla/5.0"

这是不断的去尝试获取我的网页。

这个攻击叫什么？

怎么防？

又不能 deny all

4774 次点击

所在节点

服务器

22 条回复

ywgx

2018-07-04 17:17:47 +08:00

没什么大惊小怪的，这是一种正常现象，任何在 web 上的网站，都会遇到

wangking

2018-07-04 17:23:10 +08:00

@ywgx ok，主要是想干掉他

yamedie

2018-07-04 17:28:47 +08:00

你可以造个轮子, 把这些尝试捅服务器菊花的 ip 加到 iptables 防火墙黑名单里. 拉黑 ssh 暴力穷举的轮子已经有了, 这种不知道有没有.

katsusan

2018-07-04 17:31:28 +08:00

咋都是 php 的路径呢 (狗头)

fatttt

2018-07-04 17:31:30 +08:00

waf?

ThirdFlame

2018-07-04 17:33:27 +08:00

猜路径而已。

xiaoz

2018-07-04 17:35:28 +08:00

@yamedie fail2ban 不正好满足这个需求么

yamedie

2018-07-04 17:39:32 +08:00

@xiaoz 不,这个是防 ssh 爆破的, 不适用楼主遇到的"探测管理后台登录页面"这种情况

haimall

2018-07-04 17:40:45 +08:00

试试 fikker 防 cc

wemore

2018-07-04 17:45:44 +08:00

请求 404 次数太多送他小黑屋

SoulGem

2018-07-04 18:21:45 +08:00

php 躺枪，黑什么都先搞我

xiaoz

2018-07-04 18:49:51 +08:00

@yamedie 仅仅防 ssh 有点小看 fail2ban 了，fai2ban 可监测 FTP、nginx、apache 日志，防止 FTP 爆破，防 CC 攻击这些都没问题。

miyuki

2018-07-04 18:51:27 +08:00

在开放互联网里，这是家常便饭，断网就没了

bipeng0405

2018-07-04 19:21:36 +08:00

看来访问量并不是很多，我的网站都懒得去看这些信息了

alex321

2018-07-04 19:35:38 +08:00

fail2ban 满足你，还可以自行扩充策略。

newworld

2018-07-04 20:17:59 +08:00

@yamedie #8 你对 fail2ban 一无所知这个规则你仔细看看
[Definition]
failregex = <HOST> -.*- .*HTTP/*.* 404 .*$
ignoreregex =

lihongming

2018-07-04 20:37:36 +08:00

扫描肉鸡而已，不是针对你

Vhc001

2018-07-04 20:40:02 +08:00

题主第一次接触 Web 服务器吧，哈哈

wdlth

2018-07-04 21:40:12 +08:00

@SoulGem 要是 Struts 2，估计 LZ 连日志都看不到了……

wangking

2018-07-05 10:15:02 +08:00

@bipeng0405 就我自己和 2 个朋友在用。

第 1 页／共 2 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/468123

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.