V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
Jack
V2EX  ›  站长

拼拼被攻击网站求大神看漏洞

  •  1
     
  •   Jack · 2015-02-23 08:43:11 +08:00 · 5398 次点击
    这是一个创建于 3595 天前的主题,其中的信息可能已经有所发展或是发生改变。

    网站 subhd.com
    VPS Linode
    DNS防护 CloudFlare Business Plan
    程序语言 PHP + MYSQL + Redis + Sphinx

    现在的问题是,DDoS攻击一上来网站就挂,Linode就把IP挂空,等攻击结束才会恢复。
    给CF客服写信,说流量bypass了CF,没有全部通过CF,所以可能是通过什么方法得到了网站的真实IP。
    话说对这种攻击,即使我服务器本身做了IP限制,攻击只要得到我的服务器IP,流量一样会到机房,Linode依旧会挂空IP吧,所以我服务器怎么设置都没啥用,唯一办法是确定流量都通过CF进行防护。

    所以求大神看下我的网站,是否可以通过扫描端口,或者PHP程序本身有什么漏洞导致的IP地址露出?
    http://subhd.com/upload <== 是否是因为上传呢?

    wzxjohn
        1
    wzxjohn  
       2015-02-23 08:49:02 +08:00 via iPhone
    哈哈哈哈没想到射手之后的第一个仿站的站长也在 V2。
    wzxjohn
        2
    wzxjohn  
       2015-02-23 08:53:51 +08:00 via iPhone
    @Livid 重读发帖。
    wzxjohn
        3
    wzxjohn  
       2015-02-23 08:54:24 +08:00 via iPhone
    @Livid 重复发帖。。。蛋疼的输入法。
    diguoemo
        4
    diguoemo  
       2015-02-23 09:11:50 +08:00
    是频频被攻击吧 天天就靠你的网站下字幕千万要挺住啊
    imlonghao
        5
    imlonghao  
       2015-02-23 09:23:49 +08:00 via Android
    在考虑攻击者可以知道你的服务器IP的情况下,建议你使用能抗DDOS的VPS
    这个VPS关键性能要好,要抗攻击,访问速度应该不需要考虑因为你有CF,正常用户都是走CF的CDN的
    won
        6
    won  
       2015-02-23 09:24:53 +08:00 via iPhone
    上f5轮寻来保护真实ip试试,或者堡垒机
    Jack
        7
    Jack  
    OP
       2015-02-23 09:29:08 +08:00
    @imlonghao 貌似有道理。。。有啥抗DDoS的VPS推荐呢。。。
    Gauin
        8
    Gauin  
       2015-02-23 09:34:07 +08:00
    楼主用的VPS Linode的什么套餐?速度挺快啊
    imlonghao
        9
    imlonghao  
       2015-02-23 09:35:20 +08:00
    Ramnode 如何?一家我也挺喜欢的vps商

    官网标称

    Optional protection for up to 20Gbps in each location.
    imlonghao
        10
    imlonghao  
       2015-02-23 09:36:59 +08:00
    @Gauin 与Linode无关,走了CF的CDN
    db253874
        11
    db253874  
       2015-02-23 09:39:49 +08:00
    不一定是漏洞,CF下ip地址很好找的。
    Gauin
        12
    Gauin  
       2015-02-23 09:41:22 +08:00
    @imlonghao 嗯 CDN加速会提速,但还是想知道你用的那个套餐 哈哈
    imlonghao
        13
    imlonghao  
       2015-02-23 09:43:16 +08:00 via Android
    @Gauin 不是我,是@Jack
    Gauin
        14
    Gauin  
       2015-02-23 09:47:35 +08:00
    @Jack 楼主用的VPS Linode的什么套餐?
    imlonghao
        15
    imlonghao  
       2015-02-23 10:06:34 +08:00 via Android
    @Jack 问一下是不是日本机房的,如果是的话我正在试图获取你的真实IP
    Jack
        16
    Jack  
    OP
       2015-02-23 10:09:25 +08:00
    @Gauin 速度和套餐无关吧,都挺快的
    Jack
        17
    Jack  
    OP
       2015-02-23 10:10:33 +08:00
    @imlonghao 是日本机房,所以不是php漏洞吗?如果IP可以轻易获得,要CF何用。。。
    imlonghao
        18
    imlonghao  
       2015-02-23 10:28:46 +08:00 via Android
    @Jack 只是试一下一个想法,不知道可不可行。
    Ramnode 你有没有去看?觉得如何?
    Septembers
        19
    Septembers  
       2015-02-23 10:41:29 +08:00 via Android
    来个/24 IP崩溃转移
    DDoS保证郁闷
    Jack
        20
    Jack  
    OP
       2015-02-23 10:42:12 +08:00
    @imlonghao 20G我怕瞬间就被用没了
    imlonghao
        21
    imlonghao  
       2015-02-23 10:54:09 +08:00 via Android
    @Jack 这个20G不是20G流量的意思吧,指的是家里带宽那种几兆几兆的那种
    Jack
        22
    Jack  
    OP
       2015-02-23 11:37:55 +08:00
    @imlonghao 知道了,谢谢
    invite
        23
    invite  
       2015-02-23 11:40:07 +08:00
    按道理, 应该是获取不到真实IP的.
    ryd994
        24
    ryd994  
       2015-02-23 11:54:24 +08:00 via Android
    1.申请换IP试试,新IP注意保密
    2.一般机房都有硬防服务,买
    dndx
        25
    dndx  
       2015-02-23 12:04:36 +08:00
    iptables DROP 掉不是来自 CloudFlare 的包。

    Linode 的 IP 段就这么大,扫起来很容易的。
    hadg
        26
    hadg  
       2015-02-23 12:05:16 +08:00
    方法1:扫Linode全部IP段,先扫出所有80端口开放的机器再匹配网站,带宽够大的话,1个小时左右就搞定了。
    方法2:用DNS保护之前真实的IP被某些网站记录了
    暂时想到2种
    a2z
        27
    a2z  
       2015-02-23 12:57:49 +08:00
    注册/找回密码的时候发邮件泄露的吧……
    Yamade
        28
    Yamade  
       2015-02-23 13:18:05 +08:00   ❤️ 1
    大哥:

    1.你首先要找到你的被攻击日志,找到问题根源才能找防护的办法;

    2.别重复发帖;在之前的帖子都告诉你方法了;


    给你看Nginx 在 使用 CF 下获取用户真实IP的方式.

    当服务器使用了CloudFlare的cdn后,无法获取客户端正确的ip地址,为了获取到真实的客户端ip,nginx要配置realip模块和指定CloudFlare的节点ip地址.

    配置CloudFlare节点ip
    vi /etc/nginx/nginx.conf //写在http区域里
    ipv4:
    set_real_ip_from 199.27.128.0/21;
    set_real_ip_from 173.245.48.0/20;
    set_real_ip_from 103.21.244.0/22;
    set_real_ip_from 103.22.200.0/22;
    set_real_ip_from 103.31.4.0/22;
    set_real_ip_from 141.101.64.0/18;
    set_real_ip_from 108.162.192.0/18;
    set_real_ip_from 190.93.240.0/20;
    set_real_ip_from 188.114.96.0/20;
    set_real_ip_from 197.234.240.0/22;
    set_real_ip_from 198.41.128.0/17;
    set_real_ip_from 162.158.0.0/15;
    ipv6:
    set_real_ip_from 2400:cb00::/32;
    set_real_ip_from 2606:4700::/32;
    set_real_ip_from 2803:f800::/32;
    set_real_ip_from 2405:b500::/32;
    set_real_ip_from 2405:8100::/32;
    real_ip_header CF-Connecting-IP;

    检查是否有错误,如果没有错误就可以重启nginx了.

    ps:
    如果CloudFlare节点ip变更,大家可以去下面地址获取最新的节点ip.
    https://www.cloudflare.com/ips
    Jack
        29
    Jack  
    OP
       2015-02-23 13:52:04 +08:00
    @a2z 目前没提供这种功能。。
    LazyZhu
        30
    LazyZhu  
       2015-02-23 13:58:54 +08:00 via iPhone
    feelapi
        31
    feelapi  
       2015-02-23 15:01:30 +08:00
    https://blog.cloudflare.com/ddos-prevention-protecting-the-origin/
    这里貌似有推荐的DNS设置和相关的建议,你可以检查下看看。尤其是:
    1 Never initiate an outbound connection based on user action
    2 DNS records are public domain and there are many places where historical records are archived. These historical DNS records will contain your original IP from before signing up with CloudFlare. If you are a target, the attacker probably already has your previous DNS record.
    zts1993
        32
    zts1993  
       2015-02-23 15:10:45 +08:00
    subhd站长居然在v2
    icloudnet
        33
    icloudnet  
       2015-02-23 16:27:10 +08:00
    这样大流量的攻击只能抗吧
    只能做些小工作抗一些小公鸡吧:
    iptables禁止端口扫描,每分钟访问次数,超过就ban掉
    然后就是注册邮箱发送时候的IP地址吧,不知道CF的pro隐藏你的Mail源地址没。
    加个Fail2ban试试。
    推荐个文章:
    https://icloud.net/blog/120/the-most-important-iptables-rules-for-your-linux-server/
    23. Prevent DoS Attack
    hellogbk
        34
    hellogbk  
       2015-02-23 19:36:02 +08:00
    想问一下楼主,CF的CDN你用着一直没有出现过问题吗? 我之前用过几天,时不时出现被墙的情况。。
    Jack
        35
    Jack  
    OP
       2015-02-23 22:09:41 +08:00
    @hellogbk 没有,一直还算正常,可能第一天会略有不正常
    chinvo
        36
    chinvo  
       2015-02-23 23:38:38 +08:00
    ……我記得上一個帖子大家都已經回覆了各種解決方案,樓主如果想要更詳細的方案,又不發log……

    @Livid 重複發帖
    dynfeisu
        37
    dynfeisu  
       2015-02-25 00:58:36 +08:00
    @Yamade 有APACHE下获得CLOUDFLARE 保护下的用户IP的方法么
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2787 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 27ms · UTC 11:34 · PVG 19:34 · LAX 03:34 · JFK 06:34
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.