遭受CC攻击的处理

by 雨落无声

主机博客 / 2017-11-17 04:59

前言

不知是什么情况,本来准备打开站点写点东西的,结果发现打开非常慢,连接上服务器之后才发现,被人CC了。不过量不是很大,Web服务器和数据库没有瘫掉。

处理步骤

    第一步

首先打开网站日志:本站遭受CC攻击,正在进行处理。

会发现非常非常多的数据,不过特征是都在请求 xmlrc.php 这个文件。这个特征非常明显。我先把网站目录下的 xmlrc.php 备份一份到电脑上,然后删掉它。这样,就会默认返回404了。对数据库和PHP就没有影响了。

 

    第二步

去 CloudFlare 开启CC五秒盾,因为在详细研究出对策之前,先靠着CF挡一下。

 

    第三步

使用 Fail2ban ,配合xmlrc监狱规则来使用  iptables自动封禁ip。

参考文章:https://www.gubo.org/fail2ban-protect-wordpress-from-xmlrpc-post-cc-attack/

因为 iptables 和 fail2ban 的生效时间太长,所以暂时作为备选方案。先晾在这里。

 

    第四步

采用KVMLA老板的方法,用 ip route 来封锁,效果非常显著。代码:

cat www.zhujiboke.com_nginx.log | grep 'xmlrpc' | awk '{print "ip route add blackhole ", $1}'| sort -n | uniq | sh     

把日志里所有涉及到 xmlrpc 的ip地址全部使用ip route封锁,立刻生效。

    第五步

将网站数据立马打包下载到本地。因为不知道攻击者的意图,也不知道攻击者之后会采用何种方式来扩大攻击。数据是最重要的,保留一份以备最极端的情况发生。


主机博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明本站遭受CC攻击,正在进行处理。

Shared via Inoreader