不知道得罪了哪路神仙，收到nagios報(bào)警，發(fā)現(xiàn)有個(gè)網(wǎng)站有CC攻擊?？礃幼?，量還不小，把服務(wù)器的負(fù)載都弄到40+了，雖然網(wǎng)站還能打開，但打開也是非常的緩慢。如果不是配置高點(diǎn)，估計(jì)服務(wù)器早就掛掉了。看來(lái)又是不一個(gè)不眠之夜了。
迅速查看一下nginx的訪問(wèn)日志：
#tail -f access.log

貌似全是像這樣的狀態(tài)。
我先緊急手動(dòng)封了幾個(gè)訪問(wèn)量比較大的Ip。
#iptables -A INPUT -s 83.187.133.58 -j DROP
#iptables -A INPUT -s 80.171.24.172 -j DROP
......
緊急封 了幾個(gè)ip后，負(fù)載降了一些了，網(wǎng)站訪問(wèn)速度有所提升了，但是不一會(huì)，又來(lái)了一批新的Ip, 受不了了，看來(lái)要出絕招了。寫了shell腳本，讓他逮著了，就封。發(fā)現(xiàn)他攻擊的狀態(tài)都相同，每一個(gè)攻擊ip后面都有HTTP/1.1" 499 0 "-" "Opera/9.02 (Windows NT 5.1; U; ru) 的字段，那我們就來(lái)搜這個(gè)字段。
#vim fengip.sh

#! /bin/bash
for i in `seq 1 32400`
do
sleep 1
x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera/9.02'|awk '{print $1}'|sort -n|uniq`
if [ -z "$x" ];then
echo "kong" >>/dev/null
else
for ip in `echo $x`
do
real=`grep -l ^$ip$ all`
if [ $? -eq 1 ];then
echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
echo $ip >>all
fi
done
fi
done
腳本寫好了。
如圖

我們來(lái)運(yùn)行一下，運(yùn)行幾分鐘后，如下圖所示

經(jīng)過(guò)半個(gè)小時(shí)的觀察，服務(wù)器負(fù)載也降到0.幾了，腳本也不斷在封一些CC攻擊的ip。 一直讓他運(yùn)行著，晚上應(yīng)該能睡個(gè)好覺了。
下來(lái)我們來(lái)對(duì)腳本進(jìn)行解釋一下。
#vim fengip.sh

#! /bin/bash
Touch all #建立all文件，后面有用到
for i in `seq 1 32400` #循環(huán)32400次，預(yù)計(jì)到早上9點(diǎn)的時(shí)間
do
sleep 1

x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera/9.02'|awk '{print $1}'|sort -n|uniq` #查看最后500行的訪問(wèn)日志，取出包含'HTTP/1.1" 499 0 "-" "Opera/9.02' 的行的ip并排序，去重復(fù)
if [ -z "$x" ];then
echo "kong" >>/dev/null #如果$x是空值的話，就不執(zhí)行操作，說(shuō)明500行內(nèi)，沒有帶'HTTP/1.1" 499 0 "-" "Opera/9.02' 的行 www.jb51.net
else
for ip in `echo $x` #如果有的話，我們就遍歷這些ip
do
real=`grep -l ^$ip$ all` #查看all文件里有沒有這個(gè)ip，因?yàn)槊糠庖淮?，后面都?huì)把這個(gè)ip寫入all文件，如果all文件里面有這個(gè)ip的話，說(shuō)明防火墻已經(jīng)封過(guò)了。
if [ $? -eq 1 ];then #如果上面執(zhí)行不成功的話，也就是在all文件里沒找到，就用下面的防火墻語(yǔ)句把ip封掉，并把ip寫入all文件
echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
echo $ip >>all
fi
done
fi
done
腳本很簡(jiǎn)單，大牛略過(guò)啊。。。

版權(quán)聲明：本站文章來(lái)源標(biāo)注為YINGSOO的內(nèi)容版權(quán)均為本站所有，歡迎引用、轉(zhuǎn)載，請(qǐng)保持原文完整并注明來(lái)源及原文鏈接。禁止復(fù)制或仿造本網(wǎng)站，禁止在非www.sddonglingsh.com所屬的服務(wù)器上建立鏡像，否則將依法追究法律責(zé)任。本站部分內(nèi)容來(lái)源于網(wǎng)友推薦、互聯(lián)網(wǎng)收集整理而來(lái)，僅供學(xué)習(xí)參考，不代表本站立場(chǎng)，如有內(nèi)容涉嫌侵權(quán)，請(qǐng)聯(lián)系alex-e#qq.com處理。