|
|
本帖最后由 pop-q 于 2019-6-2 10:43 编辑
我在阿里云上有个网站,虽然没什么访问量,但是一直稳稳地。直到今年4月份,频繁收到阿里云的短信和邮件通知,看内容还挺严重的:
这个截图是最后一次阿里的邮件提示,到今天发帖来看,说明我的拦截还是有了效果的,具体的接下来说。
刚开始看到阿里云的提醒,以为哪个网友胡乱发了一些黄色的内容,就没当回事,反正被屏蔽的链接也点不开。后来,看着提醒越来越多,真怕万一被阿里云停站,就开始搜索这个提醒是咋回事,搜索到的答案基本可以明确是:被挂马了!一百度,果不其然,(心中万念:草泥马)
再打开阿里云的安全中心看看,好嘛,我就是一个被痛宰得肉鸡:mad:
一般来说,这种攻击其实都是利用网站的一些漏洞,并不是拿到了站长的口令,阿里的安骑士给出了可能的漏洞,当时急着处理问题,漏洞就没做截图了,站长们有情况的可以自行检查。简要的记录一下这次处理的步骤,一是为了自己得瑟,二是方便以后站长们处理类似情况。
1、虽然阿里云给了漏洞的提示,但是基础版是没有修复的功能的,那得升级交钱才有的待遇;不过校验漏洞是免费的,也挺好了。
漏洞主要是针对PHP、Apache、Centos内核和建站平台的,PHP、Apache和kernel的升级好办,yum update 就行,建站平台咱们多数用开源的,也是漏洞问题最突出的地方,这次就发现了针对dede、opencms、phpcms的漏洞,似乎升级版本也未必能有效。好在这几个我都不用:lol:,dede我安装过,目录没删除干净,阿里还是提醒了漏洞,这个就直接删除了吧。
2、再用安骑士检查不出漏洞了,到百度站长平台上投诉,把那些网渣的快照复制粘贴到投诉中,要求百度删除快照(链接:https://help.baidu.com/newadd?prod_id=1&category=1)。
提交后,会收到百度的处理恢复,有的很快就会清除,有的要重复多次才会,一般隔天再看,没清除掉的再投诉。
3、FTP连接上服务器,检查一下文件,这里有个技巧,看文件的日期,注意红框中的对比下,正常的文件(index.htm)日期是建站的日期,被挂马的脚本日期都比较近一些。
这些日期比较新的统统删除了。还有个问题就是文件的权限,没特殊要求的一律0555.
4、问题基本上解决了,不过自从漏洞都堵上后,安全中心每天都报告一两百次被攻击的提醒。
阿里云的后台系统是Centos,这个系统自带的有iptables防火墙,配置一下看看什么情况:
iptables性能还可以的,针对攻击的关键字做了drop处理,单独有日志记录
红框根据攻击特点做了记录,都是针对漏洞的,还有针对mysql的。
每天被网渣无休止的骚扰实在不胜其烦,做了个脚本用iptables+ipset自动屏蔽嫌疑ip,日志效果:
再看看今天的安全中心被攻击情况:
阿里云的安全提示次数明显减少,对比一下我的日志,我自己的拦截次数明显比安全中心的更多,效果也更加显著一些。
做个总结吧:
1、空间商要选大牌的,香港的什么免备案的我也用过,很不靠谱;
2、漏洞一定不要丢着,看看我的日志,网渣们的攻击撑起我的访问量(也不知道他们是不是不甘心);
3、针对性的防火墙策略,针对攻击(其实是试探)特点做屏蔽。
4、文件权限不能胡乱的0777,install和update那些用过了就赶紧删除。
5、一定要鄙视那些“网渣”,很认真的那种鄙视。
|
本帖子中包含更多资源
您需要 登录 才可以下载或查看,没有账号?立即注册
x
打赏
-
查看全部打赏
|
IP归属地
雷达卡
发表于 2019-6-2 10:28:02
提帖卡
置顶卡
锁帖卡
解锁卡
显目卡
千斤顶
楼主
