时间:2024年7月中
具体现象:网站短时间有大量的非正常来访记录,很多文章下面多了很多无营养评论并附带广告链接,同时文章的浏览记录程几何数增长。本来只有寥寥几百的浏览量变成几万的浏览记录。
一、识别和验证攻击
异常浏览量如下面的图片
查看浏览记录最高的前10个IP
找到日志文件的1000行记录,打印第一行IP地址,然后用sort统计排序,最后用head显示前面的10行
tail -1000 /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10
或者
cat /var/log/nginx/access.log | awk '{print $1}' | sort | uniq -c | sort -nr | head -n 10
可以看到有访问2万多次的IP地址,这绝对不正常,通常每个IP顶多几十个访问量,因此可以判断这些IP就是异常攻击的来源。
二. 实施即时响应措施:
思路如下:网站的基本构架就是平台、服务器、web应用、网站设置四个层面,
云->安全组
服务器->防火墙
web应用->黑名单
网站设置->关闭网站的评论,评论审核、设置验证码、关闭上传附件功能等
1、网站设置变更
第一个想到的是保护网站的完整性,登陆后台关闭评论、开启审核、开启评论验证码功能,最大程度保护网站的原貌。
然后更新网站CMS的版本到最新版,CMS运营商也会在新版本里面增加一些安全措施。
2、阿里云上做安全策略,禁止某些IP访问网站
3、服务器的安全措施
打开selinux,增强安全性
getenforce setenforce 1
设置网站的目录权限755
chmod -R 755 /html
防火墙屏蔽这些IP地址
富规则屏蔽单个IP
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="61.147.96.235" reject'
富规则屏蔽网段
firewall-cmd --permanent --add-rich-rule='rule family="ipv4" source address="61.147.0.0/16" reject' firewall-cmd --reload
4、web应用限制
在nginx上做access限制
vi /nginx.conf
5、最后时刻做好备份
包括网站的根目录、数据库应该隔一段时间备份一次。这样即使遭受破坏也可以很快还原
发表评论