nginx网站被持续攻击1个月后最终防攻策略

nginx网站被持续攻击1个月后最终防攻策略

 

上上个月架构全部迁移上云以后,总的来说比较稳定,业务量也上来,可爱的坏人也来了,7X24小时不停恶意攻击我的网站,第一次收到报警是网站流入流量1分钟以内连续3次超过1000000bps,换算下1M/s秒,平时没那么大流量的啊,当时刚好在朋友家玩,于赶紧开本本连vpn检查,发现全是访问同一个页面的请求,而且是正常访问http 200,应该是被恶意攻击了。

发现问题
发现问题第一反应,赶紧将请求地址截图发给开发们看看,问问这个具体是什么?
最后得知是为短信验证码接口,据后来统计在被持续攻击的一个多小时中损失16000多条短信。

解决问题:

一期防攻击策略:
发现问题当然要立马解决了,当时思路就是统计nginx日志,当单个ip在10秒钟内访问 /account/sendPhoneCode次数超过5次,就禁用这个ip,正常用户不可能有么大的访问量,于是就有了下面的防攻击shell脚本。

这个脚本加在定时任务里每分钟执行一次,半夜0点自动重启动防火墙,释放IP,基本上防止了攻击,大概使用了半个月。

#!/bin/bash
#write: lijing QQ 858080796
#date:  20160528 v2.0
#description:拦截非法IP
 
#定义变量
RETVAL=0
Date=$(date ‘+%Y-%m-%d‘)
Time=$(date ‘+%Y:%H:%M‘ -d ‘-1 minute‘)
MON=$(date|awk -F" " ‘{print $2}‘)
TODAY=$(date|awk -F" " ‘{print $3}‘)
Log="/data/logs/nginx/access.log "
LINE="70000"
 
#关键字
Key01="sendPhoneCode"
 
Status=/tmp/statuS_deny_ip
 
/sbin/service iptables status > $Status
 
#定义函数
#禁止时间函数
secure_deny_time(){
Time01=$(date "+%H:%M:%S" -d " -10 second")
Time02=$(date "+%H:%M:%S" -d " -9  second")
Time03=$(date "+%H:%M:%S" -d " -8  second")
Time04=$(date "+%H:%M:%S" -d " -7  second")
Time05=$(date "+%H:%M:%S" -d " -6  second")
Time06=$(date "+%H:%M:%S" -d " -5  second")
Time07=$(date "+%H:%M:%S" -d " -4  second")
Time08=$(date "+%H:%M:%S" -d " -3  second")
Time09=$(date "+%H:%M:%S" -d " -2  second")
Time10=$(date "+%H:%M:%S" -d " -1  second")
    echo  "$Time01  $Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 "
}
#       禁止关键字函数
secure_key(){
    tail -n $LINE $LOG |grep "$TODAY\/$MON"|grep -v ^$|grep $TIME|grep $1 |grep $2 |grep $3  |grep $4 |awk -F " " ‘{print $1}‘ |sort >> $Deny
    echo " grep "$TODAY\/$MON" $LOG |grep -v ^$|grep $TIME|grep $1 |grep $2 |grep $3  |grep $4 |awk ‘{print $1}‘ |sort"
        }
#执行防火墙拦截函数
secure_deny_ip()
{
        cat $Deny
        echo ......................
        cat $Deny02
    for i in $IP;do
        NUM=$(cat $Deny02|grep $i|awk -F" " ‘{print $1}‘)
       if [ -z $NUM ];then
            echo " "
        else
            if [ $NUM -ge $Dot ];then
                for y in $i;do
                    grep $y $Status  >/dev/null 2>&1 
                    RETVAL=$?
                                        [ $RETVAL != 0  ] && echo "/sbin/iptables -I INPUT -s $y  -j DROP"
[ $RETVAL != 0  ] && /sbin/iptables -I INPUT -s $y  -j DROP 
                                        [ $RETVAL != 0  ] && echo "$(date "+%H:%M:%S") $y " >> /tmp/$Date
                    #[ $RETVAL != 0  ] && /sbin/iptables -I INPUT -s $y -p  tcp  -j REJECT
                done
            fi
        fi
    done
}
 
 
NUMBER="1 2 3 4 5 6"
for  NUMBER in  $NUMBER   ;do
sleep 10s
#定义点击次数 Dot
Dot=5
Deny=/tmp/secure_deny_tmp_$NUMBER
Deny02=/tmp/secure_deny_$NUMBER
#第1次,检查当前时间以前10s.  如: 0-10秒
echo "第$NUMBER 次,检查当前时间以前第$NUMBER 个10s.大于 $Dot 次攻击阻止"
echo > $Deny
for LOG in `echo $Log` ;do
    secure_deny_time
    for TIME in $Time01  $Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 ;do
        secure_key  $Key01 
    done
       cat $Deny|sort|uniq -c > $Deny02         
   IP=$(cat $Deny02|awk -F" " ‘{print $2}‘)
        secure_deny_ip 
done
done
exit

二期防攻击策略:

Shell脚本运行的半个月时间里,虽然防止了攻击,但是公司客服反馈有客户被误杀,最严重的是公司有次活动,10秒内发5个短信请求很正常啊,误杀了部分用户,被防火墙禁止IP不能访问任何服务。于是得从nginx应用层找方法,不能用老套方法禁IP了,在网上在找几天的资料解决,几乎没有相同的案例,只能自己创造了。

天道酬勤,终于有了两个思路:
一是nginx结合lua来防攻击(在网上看得我云里雾里的,最后不会lua选择放弃这个方案)。
二是利用ngx_http_referer_module(当时看了2天官网英文资料,http://nginx.org/en/docs/http/ngx_http_referer_module.html,这个页面的让我找到方法,尤其是nginx的if 语句)。

对比攻击日志和正常日志发现,其$http-referer是不同的,如下图:
正常访问:

攻击访问:

最终解决思路:1、去掉了原来的 拦截ip策略,不载拦截ip。 2、启用nignx的location 匹配/account 的$http-referer的过滤,当不是正常$http-referer,直接在再nginx处理。
Nginx配置如下:

location ~ /account(/.*)  { 
if ($http_referer ~  "https://www.touchouwang.net/account/sendPhoneCode") {
   #如果配置就直接返回200,给可爱的攻击者,不传给后端web
                return 200;        }
    #不配置,传给后端web
 proxy_pass  http://web_group/account/;
}

整个防攻击到现在没有出现任何问题,效果杠杠的。后期会增加第三期,主要是我们NB的开发,从程序级解决,如增加各种验证啊。

本文是 巧妙绝情 一个字一个图打出来,参考了好多资料,感谢他们的分享,基于open source分享精神,转载请注明出出。
支持我,请点击巧妙绝情 谢谢

参考资料:

http://drops.wooyun.org/tips/734

http://nginx.org/en/docs/http/ngx_http_referer_module.html

http://www.ttlsa.com/nginx/nginx-referer

时间: 2024-10-13 07:09:41

nginx网站被持续攻击1个月后最终防攻策略的相关文章

nginx网站被持续攻击近1个月后最终防攻击策略

正在上传中--. 预计8月15号前上传完成

Nginx网站服务

一.简介 Nginx ("engine x") 是一个高性能的HTTP和反向代理服务器,也是一个IMAP/POP3/SMTP服务器.Nginx是由Igor Sysoev为俄罗斯访问量第二的Rambler.ru站点开发的,第一个公开版本0.1.0发布于2004年10月4日.其将源代码以类BSD许可证的形式发布,因它的稳定性.丰富的功能集.示例配置文件和低系统资源的消耗而闻名.2011年6月1日,nginx 1.0.4发布. Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件

使用Nginx、Nginx Plus抵御DDOS攻击

原创 2015-10-16 陈洋 运维帮 DDOS是一种通过大流量的请求对目标进行轰炸式访问,导致提供服务的服务器资源耗尽进而无法继续提供服务的攻击手段. 一般情况下,攻击者通过大量请求与连接使服务器处于饱和状态,以至于无法接受新的请求或变得很慢. 应用层DDOS攻击的特征 应用层(七层/HTTP层)DDOS攻击通常由木马程序发起,其可以通过设计更好的利用目标系统的脆弱点.例如,对于无法处理大量并发请求的系统,仅仅通过建立大量的连接,并周期性的发出少量数据包来保持会话就可以耗尽系统的资源,使其无

一次网站被黑客攻击的经历

之前一直听说某某网站被黑客攻击了,但是我还确实没遇到过,8月1号那天,我访问网站的时候突然出现了如下界面:我的个神呐,这下出问题了,网站被黑客给攻击了,赶紧登录服务器,幸好服务器的密码还没有被改,登录进去,看了一下网站中文件的修改日期,问题出现了,网站的根目录下面怎么会多出来几个莫名其妙的文件,如图: 而且是几个可执行文件,再看文件的日期,正好是8月1号的,而且里面有个html文件打开一看里面的源代码,和上面这张页面的源代码一样,就确定这一定就是黑客搞的鬼了,奇怪,他是怎么进入的呢,查看一下是不

部署Nginx网站服务实现访问状态统计以及访问控制功能

Nginx专为性能优化而开发,最知名的优点是它的稳定性和低系统资源消耗,以及对HTTP并发连接的高处理能力,单个物理服务器可支持30000-50000个并发请求. Nginx的安装文件可以从官方网站http://www.nginx.org/下载,下面以Nginx1.12版本为例,基于CentOS7,部署Nginx网站服务. 安装Nginx 第一步源码编译安装 1. 安装支持软件 Nginx的配置及运行需要gcc . gcc-c++ . make . pcre.pcre-devel.zlib-de

Centos 7部署Nginx网站服务

一.Nginx服务基础 Nginx专为性能优化而开发,其最知名的优点是它的稳定性和低系统资源消耗,以及对HTTP并发连接的高处理能力(单台物理服务器可支持30000~50000个并发请求).正因为如此,大量提供社交网络.新闻资讯.电子商务及虚拟主机等服务的企业纷纷选择Nginx来提供Web服务. 1.Nginx服务的优势 Nginx是一个很牛的高性能Web和反向代理服务器,它具有有很多非常优越的特性: 高并发连接:官方测试能支撑5万并发连接,在实际生产环境中跑到2,~3W并发连: 内存消耗少:在

Nginx网站服务器搭建实例

Nginx是一款开源的高性能HTTP服务器和返向代理服务器. 下载.编译.安装模块: [[email protected] nginx-1.4.0]#wget http://nginx.org/download/nginx-1.4.0.tar.gz [[email protected] nginx-1.4.0]#tar -xzf nginx-1.4.0.tar.gz -C /usr/src/ [[email protected] nginx-1.4.0]#yum -y install gcc p

Nginx网站根目录更改及导致403 forbidden的问题解决

最近因为工作需要,要将Nginx网站根目录更改下,通过网上的一些教程更改后,但发现测试的时候一直提示403 forbidden错误,后台通过一个朋友的提示也解决了,所以现在将详细的步骤分享给大家,有需要的朋友们可以参考学习. 一.更改根目录 Nginx默认网站根目录为/usr/local/nginx/html,要将它改成/home/fuxiao/www 更改方法: ? 1 vi /usr/local/nginx/conf/nginx.conf 将其中的 ? 1 2 3 4 location /

nginx网站服务于虚拟主机

   Nginx网站服务于虚拟主机 1:nginx的优点: 稳定性高 系统资源消耗低 http并发量处理能力好可支持30000-50000个并发请求 主要用于静态页面 以线程为单位,一个进程对应多个用户,(线程很少占用系统资源) 2:与Apache的对比: Apache主要用于动态页面 支持功能多 稳定性能高 Apache以进程为单位,一个用户对应一个进程(一对一) 3:nginx主要用于:电商,网站,社交,门户...... 4:安装及控制nginx 1.安装支持软件 [[email prote