发现有个IP不断的猜测路径、试图往服务器上传文件(木马)。于是查看了之前的日志,无奈鄙站被攻击者盯上了,不断的有不同的IP试图上传木马。看来坏人还是有的。由于不想让鄙站沦为肉鸡,所以就想写个简单的脚本,来阻止攻击者的IP访问。
攻击者:
|
195.154.216.165--[28/Nov/2015:23:10:40+0800]"POST /wp-content/themes/twentyten/404.php HTTP/1.1"40427"http://www.z-dig.com/11m.php""Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)""-"
195.154.216.165--[28/Nov/2015:23:10:40+0800]"POST /wp-content/themes/twentythirteen/404.php HTTP/1.1"40427"http://www.z-dig.com/11m.php""Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)""-"
195.154.216.165--[28/Nov/2015:23:10:40+0800]"POST /wp-content/themes/twentytwelve/404.php HTTP/1.1"40427"http://www.z-dig.com/11m.php""Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)""-"
195.154.216.165--[28/Nov/2015:23:10:40+0800]"POST /wp-content/uploads/phptest.php HTTP/1.1"40427"http://www.z-dig.com/11m.php""Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)""-"
195.154.216.165--[28/Nov/2015:23:10:41+0800]"POST /xyr/confings.asp HTTP/1.1"4041569"http://www.z-dig.com/11m.php""Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)""-"
195.154.216.165--[28/Nov/2015:23:10:41+0800]"POST /xz.asp;.jpg HTTP/1.1"404564"http://www.z-dig.com/11m.php""Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)""-"
195.154.216.165--[28/Nov/2015:23:10:41+0800]"POST /yanyu/?q={${eval%28$_POST[u]%29}} HTTP/1.1"4041569"http://www.z-dig.com/11m.php""Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)""-"
195.154.216.165--[28/Nov/2015:23:10:42+0800]"POST /ztxxw/Images/images.asp HTTP/1.1"4041569"http://www.z-dig.com/11m.php""Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)""-"
|
|
[root@z-dig www]# grep '195.154.216.165' 2015-11-28.access.log|wc -l
289
[root@z-dig www]#
|
|
[root@z-dig www]# curl ipinfo.io/195.154.216.165;echo''
{
"ip":"195.154.216.165",
"hostname":"fr.07.gs",
"city":"",
"region":"",
"country":"FR",
"loc":"48.8600,2.3500",
"org":"AS12876 ONLINE S.A.S."
}
[root@z-dig www]#
|
法国的哥们竟然试了180多次!辛苦了。
用 shell 和定时任务来实现吧。>_<
网站跑在 Nginx 上,所以可以使用 Nginx 的 Deny 来拒绝攻击者的IP访问。
那么思路就出来了,定期(五分钟或十分钟)获取攻击者的IP,将IP放入到黑名单(Nginx 配置文件),并 reload 使其生效。
由于前期规划的比较好,网站的访问日志放在了一个指定的目录,Nginx 的错误日志也放在了一个指定的目录。网站的访问日志每日进行切割。Nginx 的错误日志没有进行切割。
下面就是我的思路和操作步骤:
通过 Nginx 的错误日志(为什么不使用访问日志)来获取攻击者的IP。之前没有对 Nginx 的错误日志进行定时切割,为了方便统计攻击者的IP所以,编写脚本并加入定时任务,使错误日志每小时切割一次,并且每小时对黑名单文件进行清空。
错误日志切割、清空黑名单脚本:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
|
[root@z-dig scripts]# cat rotate-nginx-error-logs.sh
#!/bin/bash
# Rotate nginx error logs and clean block ip 's configure file
# Nginx pid file : /application/nginx/logs/nginx.pid
# Nginx error logs directory : /data/logs/nginx
# Block Ip 's configure file : /application/nginx/conf/website/blockip.conf
# Default log name : error.log
# Author : Mr.Zhou
# E-mail : zhou@z-dig.com
NGX_PID=/application/nginx/logs/nginx.pid
NGINX_CMD=/application/nginx/sbin/nginx
LOGS_DIR=/data/logs/nginx
LOG_NAME=error.log
BLOCK_IP_FILE=/application/nginx/conf/website/blockip.conf
cd$LOGS_DIR&&
/usr/bin/rename$LOG_NAME$(/bin/date+%F-%H-d"last hour").$LOG_NAME$LOG_NAME&&
/bin/kill-USR1$(cat$NGX_PID)
>$BLOCK_IP_FILE&&
$($NGINX_CMD-sreload)
[root@z-dig scripts]#
|
获取攻击者IP脚本:
该脚本从 Nginx 的错误日志中统计出超过20次试图猜测路径或上传文件的IP,并将这些IP加入到 Nginx 的配置文件。若有新增加的IP则 reload Nginx 使配置文件生效,若没有新增IP则不进行reload。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
|
[root@z-dig scripts]# cat block-ip.sh
#!/bin/bash
# Author : Mr.Zhou
# Email : zhou@z-dig.com
# Website : http://www.z-dig.com
# block ip
ERR_LOG=/data/logs/nginx/error.log
BLOCK_IP_FILE=/application/nginx/conf/website/blockip.conf
BLOCKED_IP=/dev/shm/blocked-ip.txt
BLOCK_IP=/dev/shm/block-ip.txt
NGINX_CMD=/application/nginx/sbin/nginx
/bin/cp$BLOCK_IP_FILE$BLOCKED_IP&&
/bin/sed-nr's#.*[^0-9](([0-9]+\.){3}[0-9]+).*#\1#p'$ERR_LOG|/bin/awk'{IP[$1]++}END{for (i in IP) print IP[i],i}'|/bin/awk'{if($1>20)print "deny "$2";"}'>$BLOCK_IP&&
/bin/grep-v-f$BLOCK_IP_FILE$BLOCK_IP>>$BLOCK_IP_FILE&&
$($NGINX_CMD-sreload)
[root@z-dig scripts]#
|
将拒绝指定IP访问的配置文件(黑名单)单独存放,并在 nginx 主配置文件中 include 进去。
|
[root@z-dig conf]# grep blockip.conf nginx.conf
include website/blockip.conf;
[root@z-dig conf]#
|
blockip.conf 文件格式如下:
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
[root@z-dig website]# cat blockip.conf
deny195.154.211.220;
deny195.154.188.28;
deny195.154.188.186;
deny180.97.106.161;
deny180.97.106.162;
deny180.97.106.36;
deny195.154.180.69;
deny195.154.211.26;
deny221.229.166.247;
deny180.97.106.37;
deny195.154.216.164;
deny195.154.216.165;
[root@z-dig website]#
|
将脚本放入定时任务执行:
每小时对 Nginx 的错误日志进行切割并且清空一次被拒绝访问IP的配置文件,若不清空的话,此IP将终生不能访问,若它再次攻击则会再次进入黑名单,>_<。 清空命令放在了切割脚本的尾部。
可以自己决定统计频率,根据指定的频率执行脚本,获取攻击者的IP,若此IP已经在黑名单中,则会忽略掉(由于错误日志一小时切割一次,所以在一小时内会出现重复的IP)。然后把剩下的新攻击者的IP追加到黑名单。并 reload Nginx 。若没有新增的攻击者IP则什么都不做。
|
[root@z-dig~]# crontab -l
# rotate nginx log everyday
0000***/bin/bash/application/scripts/rotate-nginx-logs.sh&>/dev/null
# rotate nginx error log every hour and clean the block ip file
00*/1*** /bin/bash/application/scripts/rotate-nginx-error-logs.sh&>/dev/null
# check hacker's ip every ten minutes
*/10****/bin/bash/application/scripts/block-ip.sh&>/dev/null
[root@z-dig~]#
|
以下是脚本运行一段时间的攻击者IP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
|
[root@z-dig~]# cat /application/nginx/conf/website/blockip.conf
deny195.154.211.220;
deny195.154.188.28;
deny195.154.188.186;
deny180.97.106.161;
deny180.97.106.162;
deny180.97.106.36;
deny195.154.180.69;
deny195.154.211.26;
deny221.229.166.247;
deny180.97.106.37;
deny195.154.216.164;
deny195.154.216.165;
[root@z-dig~]#
|
过段时间,再列出一份黑名单IP,看是否有变化。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
|
[root@z-dig~]# cat /application/nginx/conf/website/blockip.conf
deny195.154.188.224;
[root@z-dig~]# curl ipinfo.io/195.154.188.224;echo ''
{
"ip":"195.154.188.224",
"hostname":"195-154-188-224.rev.poneytelecom.eu",
"city":"",
"region":"",
"country":"FR",
"loc":"48.8600,2.3500",
"org":"AS12876 ONLINE S.A.S."
}
[root@z-dig~]# grep '195.154.188.224' /data/logs/nginx/error.log |wc -l
102
[root@z-dig~]# grep '195.154.188.224' /data/logs/nginx/error.log |grep -v 'access forbidden' |wc -l
24
[root@z-dig~]#
[root@z-dig~]# tail -n 1 /data/logs/nginx/error.log
2015/11/3010:47:53[error]30754#0: *37828 access forbidden by rule, client: 195.154.188.224, server: www.z-dig.com, request: "GET / HTTP/1.1", host: "www.z-dig.com", referrer: "http://www.z-dig.com"
[root@z-dig~]#
|
看来多少还是管点用的。一共 access forbidden by rule 了 102-24=78 次。
适当的改改脚本,保存黑名单的历史数据,定期将大于1000的IP直接放入iptables!
分享到:
相关推荐
Nginx服务器限制IP访问的知识点可以归纳为以下几点: 1. IP访问限制的必要性:在互联网应用中,限制IP访问主要是为了防止DDOS攻击,尤其是CC攻击。CC攻击是一种常见的网络攻击手段,攻击者通过控制大量代理服务器或...
例如,你可以添加一个`allow`指令来指定允许访问的IP地址或子网: ```nginx stream { server { listen 8080; allow 192.168.1.0/24; # 允许192.168.1.0/24子网内的IP访问 deny all; # 拒绝其他所有IP proxy_...
当请求匹配到特定的URL路径(/fuck/\w+\.html$)时,如果访问的IP地址不在指定的白名单(***.***.*.**、***.***.*.**、***.***.*.**)内,$flag变量会被设置为"012"。此时,如果$flag等于"012",那么执行重定向到根...
python脚本 从nginx的访问log,获取访问IP,记录到redis,根据IP访问数量判断是否存在安全问题,记录不正常IP,(写入到防火墙过滤-待完成)
# 拒绝所有其他IP访问 ... } } ``` 在上述配置中,`allow`和`deny`指令按照它们在配置文件中的顺序执行,如果IP匹配了`deny`,则后续的`allow`规则将不再检查。 二、控制并发连接数 Nginx可以通过`limit_conn`...
Nginx日志自动归档备份shell脚本log
将其复制到/etc/init.d下。 就可以通过service nginx start | restart | stop 管理nginx了
在提供的Shell脚本中,可能包含了安装、配置Nginx和Keepalived,以及监控Nginx状态的相关命令。运行这个脚本可以在Linux环境下快速部署这样一个高可用的负载均衡集群。 总结起来,Nginx和Keepalived的组合为Web服务...
主要介绍了Nginx禁止指定UA访问的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
这样的配置将只允许IP地址为`10.0.0.2`的客户端访问这些页面,其他IP将被拒绝。 3. **针对不同IP设置访问权限**: 需要控制多个IP的访问权限时,可以创建一个包含允许或禁止IP的外部配置文件。例如,创建`ip.conf...
"nginx https 配置"这个主题涉及到的是如何在Nginx上设置HTTPS服务,以实现网站的安全访问。HTTPS是HTTP协议的安全版本,通过使用SSL/TLS协议来加密数据传输,确保用户与服务器之间的通信不被中间人攻击。 首先,...
Nginx不仅在处理静态内容和反向代理方面表现出色,它还具有强大的配置功能,比如可以用来封禁指定的IP地址或IP地址段。本文将详细介绍如何在Nginx中封禁特定的IP地址和IP段,以及如何自定义403错误页面。 首先,...
nginx自动化安装shell脚本
实验环境: 一台Liunx服务器(内网可也以) ...执行命令: docker pull nginx //从docker自带的源把...docker run -itd --name nginx -p 5555:80 nginx //运行刚刚下载nginx的镜像,现在这个镜像是一个容器。修改name为
Nginx: PV、UV、独立IP 做网站的都知道,平常经常要查询下网站PV、UV等网站的访问数据,当然如果网站做了CDN的话,nginx本地的日志就没什么意义了,下面就对nginx网站的日志访问数据做下统计; 概念: UV(Unique ...
首先建立下面的配置文件放在nginx的conf目录下面,... blocksip.conf:的格式还有许多种,可以配置只允许的IP访问或者IP段访问: deny IP; allow IP; # block all ips deny all; # allow all ips allow all; 其中网段的
#shell脚本处理nginx日志自动生成ip黑名单 ##统计访问量前10名的ip并写入文件 #!/bin/bash data=`date +%Y-%m-%d` #统计访问量最高的前10ip awk '{print $1}' '/PATH/'$data'.log' | sort -n |uniq -c | sort -rn | ...
Linux 服务器限制 IP 访问是指通过配置 Nginx 或 Apache 服务器,屏蔽或限制特定的 IP 地址访问服务器,以防止垃圾评论、攻击或恶意访问。 Nginx 环境下的 IP 限制 在 Nginx 环境下,可以创建一个名为 denyip.conf...
1. **日志文件**:Nginx 会记录访问日志和错误日志,帮助管理员识别和解决问题。默认的日志文件位置在 `/var/log/nginx/access.log` 和 `/var/log/nginx/error.log`。 2. **性能监控**:使用工具如 `nginx-module-...