我的网站有点问题。因此设置为ElasticBeanstalk(NGINX(+Cloudflare
但每天凌晨4点左右,我的服务器都会受到直接的IP攻击。1-2分钟内约300个请求。Bot试图访问一些资源,如
GET /phpMyadmi/index.php HTTP/1.1
GET /shaAdmin/index.php HTTP/1.1
POST /htfr.php HTTP/1.1
目前,所有这些端口都将连接到80或8080个端口。并通过Nginx配置成功处理,将其重定向到示例:443
server {
listen 80 default_server;
listen 8080 default_server;
server_name _;
return 301 https://example.com$request_uri;
}
server {
listen 443 ssl;
server_name example.com;
ssl on;
...
问题是,
- 有许多网站所有者/devOps面临同样的攻击。你采取了什么行动来防止这种攻击
- 目前它处理得很好,没有影响服务器工作,我应该担心吗?或者只是用/phpmy/模式过滤掉日志,然后忘记了它
- 在这次攻击之前,我有方法PROPFIND的请求,我应该出于安全原因阻止它吗?目前由默认服务器处理
我知道我可以使用Cloudflare Argotunel或ELB+WAF。但我现在真的不想这么做。
我找到了一个关于stackoverflow的解决方案。是所有cloudflare ips的白名单。但我认为这不是一个好的。
另外一个可行的解决方案是检查主机头,并将其与example.com进行比较
要回答您的具体问题:
-
正如你所描述的,每个公共IP都会收到不想要的流量,不幸的是,这很正常。这并不是真正的攻击,它只是一个机器人寻找特定弱点的迹象,或者试图引发包含有用数据的响应。毫无疑问,这些数据后来被用于实际攻击,但它基本上是大规模的自动识别。
-
这种脚本可能不会造成任何损害,所以只要你的服务器配置良好&完全修补了它并不是什么大问题。然而,这些类型的扫描是发起攻击的第一步——通过识别服务&具有已知漏洞的应用程序版本-因此明智的做法是保留日志以供分析。
-
你应该遵循最低特权原则。PROPFIND与WebDAV有关-如果你不使用它,请禁用它(或者最好将你支持的动词列为白名单,忽略其余动词(。
如果您的站点已经落后于CloudFlare,那么您真的应该通过防火墙访问您的IP,这样只有CloudFlare IP才能与您的服务器通信。这些IP确实发生了变化,所以我建议从中下载最新的脚本https://www.cloudflare.com/ips-v4并让它定期更新你的防火墙。这里有一篇来自CloudFlare的关于这个主题的帮助文章:https://support.cloudflare.com/hc/en-us/articles/200169166-How-do-I-whitelist-Cloudflare-s-IP-addresses-in-iptables-
如果出于任何原因您无法对IP进行防火墙设置,您的下一个最佳选择是fail2ban(www.fail2ban.org(,它是一个日志解析器,可以根据日志文件中的模式操作防火墙临时或永久阻止IP地址。
最后一个想法——我建议不要从你的IP重定向到你的域名——你告诉机器人/黑客你的URL——然后他们可以用它绕过CDN直接攻击你的服务器。除非你有理由允许HTTP/HTTPS流量到你的IP地址,否则当请求到达你的IP时,返回一个4XX(可能444是"无响应关闭连接"(,而不是重定向。然后,您应该创建一个单独的服务器块来处理重定向,但只能让它响应真正的命名URL。