本站遭受CC攻击,正在进行处理。

日志

2017.11.19 攻击者开始疯狂在本站注册用户,导致本站邮箱爆满,数据库爆炸。不过在发现之后,成功进行拦截,恢复之前的 user 和 usermeta 数据库,并进行一次数据备份。并且开始考虑一些常规的CC防护方案。

2017.11.17 利用 xmlrpc.php的漏洞进行攻击,已经成功拦截。

前言

不知是什么情况,本来准备打开站点写点东西的,结果发现打开非常慢,连接上服务器之后才发现,被人CC了。不过量不是很大,Web服务器和数据库没有瘫掉。

处理步骤

    第一步

首先打开网站日志:本站遭受CC攻击,正在进行处理。

会发现非常非常多的数据,不过特征是都在请求 xmlrc.php 这个文件。这个特征非常明显。我先把网站目录下的 xmlrc.php 备份一份到电脑上,然后删掉它。这样,就会默认返回404了。对数据库和PHP就没有影响了。

 

    第二步

去 CloudFlare 开启CC五秒盾,因为在详细研究出对策之前,先靠着CF挡一下。

 

    第三步

使用 Fail2ban ,配合xmlrc监狱规则来使用  iptables自动封禁ip。

参考文章:https://www.gubo.org/fail2ban-protect-wordpress-from-xmlrpc-post-cc-attack/

因为 iptables 和 fail2ban 的生效时间太长,所以暂时作为备选方案。先晾在这里。

 

    第四步

采用KVMLA老板的方法,用 ip route 来封锁,效果非常显著。代码:

cat www.zhujiboke.com_nginx.log | grep 'xmlrpc' | awk '{print "ip route add blackhole ", $1}'| sort -n | uniq | sh

把日志里所有涉及到 xmlrpc 的ip地址全部使用ip route封锁,立刻生效。

    第五步

将网站数据立马打包下载到本地。因为不知道攻击者的意图,也不知道攻击者之后会采用何种方式来扩大攻击。数据是最重要的,保留一份以备最极端的情况发生。

原创文章,作者:雨落无声,如若转载,请注明出处:https://www.zhujiboke.com/2017/11/979.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论列表(9条)

  • 明远网络工作室 2017年11月20日 下午8:54

    WP漏洞太多了 还是自己写个博客程序靠谱

    • 雨落无声 回复 明远网络工作室 2017年11月21日 上午4:11

      暂时没这个打算
      1.因为WP太方便了,啥功能都有
      2.自己没这个精力和水平折腾

  • 110 2017年11月20日 下午4:56

    博主,我也测试了一下,你的站点多少注册用户会刷爆?

    • 雨落无声 回复 110 2017年11月21日 上午4:12

      这次攻击里面并没有被刷爆,本站机器性能还是很不错,只要是个IO 500mb/s 以上的SSD VPS,数据库都比较能抗,不过,单个 usermeta 表增长到 138mb的时候,网站是很卡的。

  • 110 2017年11月20日 下午4:52

    日志 2017.11.19 攻击者开始疯狂在本站注册用户,导致本站邮箱爆满,数据库爆炸。不过在发现之后,成功进行拦截,恢复之前的 user 和 usermeta 数据库,并进行一次数据备份。并且开始考虑一些常规的CC防护方案。

  • chx818 2017年11月20日 上午7:26

    大佬666,不过我也试过一次,那是和另外一个人发生了矛盾,然后我想到应该要备份一下数据库,然后打包弄了下来,结果第二天网站真的被d,然后不知道怎么回事,机器彻底报废,根本没法用,根本开不了机,数据也弄不下来,幸好提前弄下来了数据库。

  • _admin 2017年11月19日 上午9:22

    版字打错了

  • 结核杆菌 2017年11月17日 下午2:01

    总有一帮自以为是的垃圾闲的无聊,精神上希望这帮垃圾早点死

  • 2017年11月17日 上午10:05

    这些人真的是吃饱了撑 ➡

联系我们

400-800-8888

在线咨询:点击这里给我发消息

邮件:admin@example.com

工作时间:周一至周五,9:30-18:30,节假日休息