我这里统计了一年时间内状态码>=400,且不等于404的url计数,看图:
时间跨度从22年10月至23年11月,因为中间手误删了23年10月的日志打包,所以时间上是刚好一年的。
其中1和3是前些天那个傻逼拖我流量所用,加上本月的几天,都几千万次了,这个url可以忽略的。第二个就不说了,很明显不能屏蔽。这3个我直接在下面列表删掉了。还有几个我站点独有的文件url也删掉了。
然后有些比如sitemap这样的地址,自择吧。如果你的站点地图也用的这个url,那你就不能屏蔽这个。
那么剩下的,就是所谓的“脚本小子”的工具最常扫的地址了,自己看着怎么处理吧:
/-/-/-/-/-/-/-/-/-/- /repeater.php /xmlrpc.php /blog//wp-content/themes/ccx/index.php /blog//wp-content/plugins/linkpreview/db.php?u //xmlrpc.php /.well-known/ai-plugin.json /ads.txt /.env /wp-config.php /wp-admin/admin-ajax.php?action=revslider_show_image&img=../wp-config.php /wp-admin/admin-ajax.php?action=duplicator_download&file=../wp-config.php /searchreplacedb2.php /wp-content/themes/seotheme/db.php?u /adminer.php /wp-admin/admin-post.php?alg_wc_pif_download_file=../../../../../wp-config.php /wp-content/plugins/apikey/apikey.php?test=hello /wp-swimteam/include/user/download.php?file=/etc/passwd&filename=../../../wp-config.php /.git/config /api/user/ismustmobile /wp-content/plugins/wp-ecommerce-shop-styling/includes/download.php?filename=../../../../wp-config.php /xmlrpc.php?rsd /api/linkPF /api/link/platform /blog//wp-content/themes/seotheme/mar.php /blog//wp-content/themes/pridmag/db.php?u /fx/!svn/txr/2-2/MT4/FXTM%E5%A4%9A%E5%B8%90%E6%88%B7/multiterminal.exe /adadaddadad //adadaddadad /api/receiveMessage/sync /sitemap /sitemap.txt
这其实是肉鸡网络批量扫的,我的静态页面都有人扫,看扫描路径和你的差不多。扫的WordPress默认模板漏洞。
不用WordPress的话可以默认屏蔽wp- 开头的。同时配合fali2ban拉黑
是的,你说的对。但是fail2ban是单机程序,应对场景有限。我捣鼓的这玩意可以处理大概所有事情,目前已经可以处理链路层了,目标不同的。而且,我觉得为这点东西给每个节点运行一套fail2ban这样的python程序有点浪费资源。。。
我的站就是 /wp-content/plugins/apikey/apikey.php 通过upload更新请求了一个后门文件到网站,挂掉了,然后我就直接functions禁了 apikey跟upload,? 等相关可疑访问规则
嗯,你这样也可以,但程序更新后又来了。。。我目前用的是可疑行为自动在iptables里面封了,然后数据库记录一下,每周末自动同步到所有节点,可疑行为封3个月。回头写个完整的做法,你可以参考
我研究下,谢谢分享,之前没有考虑用这个只单纯从修复站点本身角度考虑了