不知道得罪了哪路神仙，收到nagios報警，發(fā)現(xiàn)有個網(wǎng)站有CC攻擊?？礃幼?，量還不小，把服務器的負載都弄到40+了，雖然網(wǎng)站還能打開，但打開也是非常的緩慢。如果不是配置高點，估計服務器早就掛掉了?？磥碛质遣灰粋€不眠之夜了。
迅速查看一下nginx的訪問日志：
#tail -f access.log  

貌似全是像這樣的狀態(tài)。 
我先緊急手動封了幾個訪問量比較大的Ip。
#iptables -A INPUT -s 83.187.133.58 -j DROP
#iptables -A INPUT -s 80.171.24.172 -j DROP
......
緊急封 了幾個ip后，負載降了一些了，網(wǎng)站訪問速度有所提升了，但是不一會，又來了一批新的Ip, 受不了了，看來要出絕招了。寫了shell腳本，讓他逮著了，就封。發(fā)現(xiàn)他攻擊的狀態(tài)都相同，每一個攻擊ip后面都有HTTP/1.1" 499 0 "-" "Opera/9.02 (Windows NT 5.1; U; ru) 的字段，那我們就來搜這個字段。
#vim fengip.sh
 
#! /bin/bash
for i in `seq 1 32400`
do
sleep 1
x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera/9.02'|awk '{print $1}'|sort -n|uniq`
if [ -z "$x" ];then
echo "kong" >>/dev/null
else
for ip in `echo $x`
do
real=`grep -l ^$ip$ all`
if [ $? -eq 1 ];then
echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
echo $ip >>all
fi
done
fi
done
腳本寫好了。
如圖

我們來運行一下，運行幾分鐘后，如下圖所示

經(jīng)過半個小時的觀察，服務器負載也降到0.幾了，腳本也不斷在封一些CC攻擊的ip。 一直讓他運行著，晚上應該能睡個好覺了。
下來我們來對腳本進行解釋一下。
#vim fengip.sh
 
#! /bin/bash
Touch all    #建立all文件，后面有用到
for i in `seq 1 32400` #循環(huán)32400次，預計到早上9點的時間
do
sleep 1
 
x=`tail -500 access.log |grep 'HTTP/1.1" 499 0 "-" "Opera/9.02'|awk '{print $1}'|sort -n|uniq` #查看最后500行的訪問日志，取出包含'HTTP/1.1" 499 0 "-" "Opera/9.02' 的行的ip并排序，去重復
if [ -z "$x" ];then
echo "kong" >>/dev/null #如果$x是空值的話，就不執(zhí)行操作，說明500行內(nèi)，沒有帶'HTTP/1.1" 499 0 "-" "Opera/9.02' 的行 www.dbjr.com.cn
else
for ip in `echo $x` #如果有的話，我們就遍歷這些ip
do
real=`grep -l ^$ip$ all` #查看all文件里有沒有這個ip，因為每封一次，后面都會把這個ip寫入all文件，如果all文件里面有這個ip的話，說明防火墻已經(jīng)封過了。
if [ $? -eq 1 ];then #如果上面執(zhí)行不成功的話，也就是在all文件里沒找到，就用下面的防火墻語句把ip封掉，并把ip寫入all文件
echo iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
iptables -A INPUT -s $ip -p tcp --dport 80 -j DROP
echo $ip >>all
fi
done
fi
done
腳本很簡單，大牛略過啊。。。

最新評論