首页   注册   登录
V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX  ›  信息安全

求助,服务器遭受攻击

  •  
  •   zh841318441 · 127 天前 · 1671 次点击
    这是一个创建于 127 天前的主题,其中的信息可能已经有所发展或是发生改变。

    怀疑是 nginx 遭受攻击,https 没法访问。 每过一段时间 就有一个陌生 ip 访问

    这是 nginx 访问日志,求助这是什么问题

    2019/06/13 12:08:11 [notice] 24411#0: signal process started 2019/06/13 13:20:18 [error] 24412#0: *1672 open() "/usr/local/nginx/html/index.php" failed (2: No such file or directory), client: 106.12.138.103, server: zh.8kela.com, request: "GET /index.php HTTP/1.1", host: "212.64.40.177" 2019/06/13 13:20:18 [error] 24412#0: *1672 open() "/usr/local/nginx/html/phpmyadmin/index.php" failed (2: No such file or directory), client: 106.12.138.103, server: zh.8kela.com, request: "GET /phpmyadmin/index.php HTTP/1.1", host: "212.64.40.177" 2019/06/13 14:02:10 [error] 24412#0: *1829 open() "/usr/local/nginx/html/thinkphp/html/public/index.php" failed (2: No such file or directory), client: 58.251.121.185, server: zh.8kela.com, request: "GET /thinkphp/html/public/index.php HTTP/1.1", host: "212.64.40.177"

    26 回复  |  直到 2019-06-14 12:38:53 +08:00
        1
    cnoder   127 天前
    这是干啥,猜目录么
        2
    jeasonzuo   127 天前
    这是在扫入口文件,最好把简单的密码换掉
        3
    cominghome   127 天前
    这不就是普通的 404 日志吗?算是最低危的那种扫描。再说了,这和 https 有什么关系?
        4
    zh841318441   127 天前
    每过一段时间就会执行 GET /thinkphp/html/public/index.php HTTP/1.1" 404 169
    然后 nginx 日志中出现
    *1925 open() "/usr/local/nginx/html/robots.txt" failed (2: No such file or directory), client: 88.99.195.194, server: zh.8kela.com, request: "GET /robots.txt HTTP/1.1", host: "zh.8kela.com"

    clinet ip 一直在切换 ,不知道啥情况
        5
    zh841318441   127 天前
    @cominghome 早晨还是好好的,nginx 里面的配置没有更改过。后来就没法访问了,现在不走 https 还可以访问后端服务,只要走 https,就进不来了。https 的证书什么都没更改也没过期。
        6
    ryV60s   127 天前
    这给你吓得,赶快报警。。
        7
    zpfhbyx   127 天前
    良心云?
        8
    zh841318441   127 天前
    @ryV60s 大哥啥情况呀
        9
    345161974   127 天前
    整个 Fail2ban 来挡下
        10
    oovveeaarr   127 天前
    眼睛好痛,能不能排版下。。
    看样子是找不到 /usr/local/nginx/html/robots.txt ,没啥问题,估计是爬虫请求。
    这是 nginx 默认的 root,是不是 lz 的 root 没设置对。
        11
    jamesliu96   127 天前 via Android
    肉鸡扫呢,同时有洪水
        12
    chinesestudio   127 天前 via Android
    需要运维 单次长期可以联系我 价格好说
        13
    cominghome   127 天前
    @zh841318441 不要迷信“早上还是好的,我也没动”。我 telnet 了一下发现你这 443 端口都不通,拿头访问 https 啊。是不是防火墙 /安全组限制了?检查下环境和服务吧。
    你贴的日志就是一般性的扫描导致的 404,不想看把 log 等级调一下就好了。
        14
    cominghome   127 天前
    @zh841318441 还有个问题,你这个站内容合法 and 备案没? 有没有可能是最近的 JW 活动被供应商封了端口?
        15
    Jirajine   127 天前 via Android
    LZ 你不是运维吧。。日志也不把服务器地址码一下

    让我想起来以前一个笑话:招个前端,顺便负责下后端,再运维下服务器,还能给同事炒几个菜(划掉)
        16
    zh841318441   127 天前
    @cominghome 你刚刚 telnet 的时候,我重启了一下。443 是通的
        17
    Kaiyuan   127 天前
    开 CDN,禁止 CDN 外的 IP 访问 80 和 443 端口,不是通过域名访问 nginx 的( nginx 默认的配置)都 301 到网上随便找一个 download test 10G 文件。
        18
    zh841318441   127 天前
    @Jirajine 我是一个后端,不是专业运维。
        19
    zh841318441   127 天前
    @Kaiyuan 这个想法很赞呀
        20
    Jirajine   127 天前 via Android
    现在各种云,搞得企业都不怎么招运维了。

    @Kaiyuan 你直接拒绝响应请求不就完了,非要坑别人干嘛
        21
    Kaiyuan   127 天前
    @Jirajine #20 我没坑人啊,不一定全部都 301,我自己是把所有敏感访问都 301,反正所有 CC 和暴力破解都让它自爆了。
    例如 Wordpress
        22
    shuizhengqi   127 天前
    再正常不过了,只要你对外提供服务,就有人扫你,还有暴力破解
        23
    lzhnull   127 天前
    太可怕了,报警没。
        24
    hanguofu   127 天前 via Android
    我觉得 Kaiyuan 的方法挺好,学习了。
        25
    lanceboss   126 天前 via iPhone
    正常啊。肉鸡在扫描呀。不然你以为市面上这么多肉鸡哪里来的。

    HTTPS 访问不了有可能是你配置证书的原因。收费排查哈。
        26
    liukangxu   126 天前
    还有更腹黑的方法,Zip Bomb 了解一下: https://hackaday.com/2017/07/08/dropping-zip-bombs-on-vulnerability-scanners/
    关于   ·   FAQ   ·   API   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   2297 人在线   最高记录 5043   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.3 · 25ms · UTC 14:28 · PVG 22:28 · LAX 07:28 · JFK 10:28
    ♥ Do have faith in what you're doing.