nginx网站被持续***1个月后最终防攻策略
nginx网站连续被攻击1个月后的最终反攻击策略
上个月架构全部迁移到云端后,总体稳定,业务量也上来了。可爱的坏人也是,他们7X24小时不停地恶意攻击我的网站。第一次接到报警,网站的流入流量在1分钟内连续三次超过1000000bps,换算成1M/s秒。通常,没有那么多的交通。当时我正好在朋友家玩,就赶紧打开笔记本电脑查看远程连接。
发现问题:
发现问题的第一反应,赶紧把请求地址的截图发给开发者看看,问问这是什么?
最后得知是短信验证码的接口。根据后来的统计,它在一个多小时内丢失了16000多条短信。
解决问题:
第一阶段反XXX策略:
发现问题,必须立即解决。当时的想法是统计nginx日志。当单个ip在10秒内访问/account/sendPhoneCode超过5次时,将被禁用。正常用户不可能有吗?
该脚本被添加到计划任务中,每分钟执行一次。它会在半夜零点自动重启防火墙,释放IP,基本防止***了,大概需要半个月的时间使用。
#!/bin/bash
#write: lijing QQ 858080796
#date: 20160528 v2.0
#description:拦截非法IP
#定义变量
RETVAL=0
Date=$(date '+%Y-%m-%d')
Time=$(date '+%Y:%H:%M' -d '-1 minute')
MON=$(date|awk -F" " '{print $2}')
TODAY=$(date|awk -F" " '{print $3}')
Log="/data/logs/nginx/access.log "
LINE="70000"
#关键字
Key01="sendPhoneCode"
Status=/tmp/statuS_deny_ip
/sbin/service iptables status > $Status
#定义函数
#禁止时间函数
secure_deny_time(){
Time01=$(date "+%H:%M:%S" -d " -10 second")
Time02=$(date "+%H:%M:%S" -d " -9 second")
Time03=$(date "+%H:%M:%S" -d " -8 second")
Time04=$(date "+%H:%M:%S" -d " -7 second")
Time05=$(date "+%H:%M:%S" -d " -6 second")
Time06=$(date "+%H:%M:%S" -d " -5 second")
Time07=$(date "+%H:%M:%S" -d " -4 second")
Time08=$(date "+%H:%M:%S" -d " -3 second")
Time09=$(date "+%H:%M:%S" -d " -2 second")
Time10=$(date "+%H:%M:%S" -d " -1 second")
echo "$Time01 $Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 "
}
# 禁止关键字函数
secure_key(){
tail -n $LINE $LOG |grep "$TODAY\/$MON"|grep -v ^$|grep $TIME|grep $1 |grep $2 |grep $3 |grep $4 |awk -F " " '{print $1}' |sort >> $Deny
echo " grep "$TODAY\/$MON" $LOG |grep -v ^$|grep $TIME|grep $1 |grep $2 |grep $3 |grep $4 |awk '{print $1}' |sort"
}
#执行防火墙拦截函数
secure_deny_ip()
{
cat $Deny
echo ......................
cat $Deny02
for i in $IP;do
NUM=$(cat $Deny02|grep $i|awk -F" " '{print $1}')
if [ -z $NUM ];then
echo " "
else
if [ $NUM -ge $Dot ];then
for y in $i;do
grep $y $Status >/dev/null 2>&1
RETVAL=$?
[ $RETVAL != 0 ] && echo "/sbin/iptables -I INPUT -s $y -j DROP"
[ $RETVAL != 0 ] && /sbin/iptables -I INPUT -s $y -j DROP
[ $RETVAL != 0 ] && echo "$(date "+%H:%M:%S") $y " >> /tmp/$Date
#[ $RETVAL != 0 ] && /sbin/iptables -I INPUT -s $y -p tcp -j REJECT
done
fi
fi
done
}
NUMBER="1 2 3 4 5 6"
for NUMBER in $NUMBER ;do
sleep 10s
#定义点击次数 Dot
Dot=5
Deny=/tmp/secure_deny_tmp_$NUMBER
Deny02=/tmp/secure_deny_$NUMBER
#第1次,检查当前时间以前10s. 如: 0-10秒
echo "第$NUMBER 次,检查当前时间以前第$NUMBER 个10s.大于 $Dot 次***阻止"
echo > $Deny
for LOG in `echo $Log` ;do
secure_deny_time
for TIME in $Time01 $Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 ;do
secure_key $Key01
done
cat $Deny|sort|uniq -c > $Deny02
IP=$(cat $Deny02|awk -F" " '{print $2}')
secure_deny_ip
done
done
exit
第二阶段反XXX策略:
在脚本运行的半个月时间里,虽然阻止了***但是公司客服反映有客户被误杀。最严重的是公司搞了个活动。10秒内发5条短信请求很正常,也有用户被误杀。防火墙禁止IP访问任何服务。所以我得从nginx应用层找方法,不能用老办法封杀IP。我在网上找了好几天的资料来解决。类似的案例几乎没有,只能自己创造了。
天道酬勤,终于有了两个思路:
一是nginx结合lua来防***(在网上看得我云里雾里的,最后不会lua选择放弃这个方案)。
二是利用
ngx_http_referer_module(当时看了2天官网英文资料,http://nginx.org/en/docs/http/ngx_http_referer_module.html,这个页面的让我找到方法,尤其是nginx的if语句)。
将***日志与正常日志对比,发现其$http-referer不同,如下图:
正常访问:
***访问:
最终的解决方案:
1。去掉原来的拦截ip策略,不加载拦截ip。
2。启用nignx的位置匹配/帐户的$http-referer的过滤。如果不是正常的$http-referrer,会直接在nginx中处理。
Nginx的配置如下:
location ~ /account(/.*) {
if ($http_referer ~ "https://www.xxxxxxxx.net/account/sendPhoneCode") {
#如果匹配就直接返回200,返回404,也行啊,自己定。给可爱的***者,不传给后端web
return 200; }
#不匹配,传给后端web
proxy_pass http://web_group/account/;
}
到目前为止,整个反XXX运动没有出现任何问题,效果是有效的。后期会加入第三期,主要是我们NB的开发,从程序层面解决,比如加入各种验证。
这篇文章巧妙的一个字一个字的打,参考了很多资料。感谢他们的分享,本着开源共享的精神,转载请注明。
支持我,请点击别出心裁谢谢
引用:
http://drops.wooyun.org/tips/734
http://nginx.org/en/docs/http/ngx_http_referer_module.html
http://www.ttlsa.com/nginx/nginx-referer
微信扫一扫
支付宝扫一扫
评论列表(0条)