V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
jiangwei2222
V2EX  ›  信息安全

每小时 100W+的请求量,该怎么向黑产大哥们求饶啊?

  •  5
     
  •   jiangwei2222 · 2022-01-24 15:25:27 +08:00 · 18898 次点击
    这是一个创建于 1034 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我一个个人博客小破站,应该也没得罪谁,最近突然发现每小时接近 100 万的请求量,我还以为是我突然出名了,结果掏出 Nginx 日志一看,100 万请求中有 100 万都是 404 ,请求路径全部都是

    wp/admin.php

    think-php/exec.php

    phpmyadmin/index.php

    这类似的。

    我知道大哥们在尝试扫我网站的漏掉,可我网站也没这些东西呀,每小时 100 万的请求,直接把我日志服务打挂了。想来问问,哪里可以向黑产大佬求饶不,我扛不住了

    目前尝试办法:

    1 、封 ip ,可是从日志上面看,大哥们是各种 ip 换着来,我也不知道大哥们有多少 ip

    2 、根据 url 路径封,可是大哥们扫了几万个页面 URL ,这比我本身页面还多

    第 1 条附言  ·  2022-01-25 10:32:54 +08:00
    我突然想到个损招,结合 27 楼和 59 楼大哥的思路,我决定往部分规则的 URL 里面投 GZIP 炸弹,哈哈哈
    第 2 条附言  ·  2022-01-25 17:43:03 +08:00
    炸弹部署完毕,后续看看黑产大哥们反应如何,哈哈哈
    https://www.jinnrry.com/2022/01/25/GzipBomb/
    111 条回复    2022-02-20 12:37:22 +08:00
    1  2  
    wellsc
        1
    wellsc  
       2022-01-24 15:26:20 +08:00   ❤️ 30
    可以融资了
    xarthur
        2
    xarthur  
       2022-01-24 15:27:06 +08:00   ❤️ 2
    cloudflare
    chihiro2014
        3
    chihiro2014  
       2022-01-24 15:28:35 +08:00
    cloudflare ,或者你限制每个 ip 的每分钟的请求次数
    Maxbee
        4
    Maxbee  
       2022-01-24 15:29:32 +08:00   ❤️ 10
    话说能不能加上广告 /doge
    mywaiting
        5
    mywaiting  
       2022-01-24 15:29:48 +08:00
    cloudflare 五秒盾,抵御这种无技术含量的 cc ,毫无压力啊
    leogm9408leo
        6
    leogm9408leo  
       2022-01-24 15:30:22 +08:00
    恭喜,可以融资了
    lithiumii
        7
    lithiumii  
       2022-01-24 15:32:38 +08:00   ❤️ 6
    分析一下日志,把高频页面跳转到 gov 网站
    然后你就会被请喝茶了(
    jiangwei2222
        8
    jiangwei2222  
    OP
       2022-01-24 15:32:51 +08:00
    @xarthur #2
    @chihiro2014 #3
    @mywaiting #5 套 cf 国内太慢了,体验不太舒服
    johopig
        9
    johopig  
       2022-01-24 15:33:35 +08:00   ❤️ 1
    @leogm9408leo 老铁,这是什么梗呀
    leogm9408leo
        10
    leogm9408leo  
       2022-01-24 15:38:05 +08:00
    @johopig 您个人网站一个小时百万流量,这完爆各路大 V ,随便变个现就发财了
    ch2
        11
    ch2  
       2022-01-24 15:45:36 +08:00 via iPhone
    把日志服务先关了,正好测测你自己抗不扛得住
    charliecaptain
        12
    charliecaptain  
       2022-01-24 15:47:30 +08:00
    加上这些网站,然后都加广告,赚大了
    pelloz
        13
    pelloz  
       2022-01-24 15:48:36 +08:00   ❤️ 1
    扫漏洞代价很低也是有代价的,别人花这么大流量扫你估计是因为你网站的某些特征满足了被扫的条件。你不想硬刚,就只能从自己身上找点原因....我估计,你的小站是 php 写的?是不是返回的 http 头包含了什么 server 信息,满足了包含漏洞的啥版本,或者你真的有啥 admin.php 之类的入口返回的不是 404 。总之,你别人脚本觉得你可能有漏洞比较好,不需要暴露的信息一点点都不要暴露。
    leipengcheng
        14
    leipengcheng  
       2022-01-24 15:49:47 +08:00
    把服务器关一个月
    jiangwei2222
        15
    jiangwei2222  
    OP
       2022-01-24 15:54:02 +08:00
    @pelloz #13 http 头只有 nginx 版本信息,有一个管理页面是指定到 admin.xxxx.com 域名下面的
    mahone3297
        16
    mahone3297  
       2022-01-24 15:57:53 +08:00
    不在乎,省钱,关机
    在乎,费钱,上 waf
    crab
        17
    crab  
       2022-01-24 16:00:30 +08:00
    把 404 不存在页面重定向随机某个存在的页面,这样扫个球。
    CodeCodeStudy
        18
    CodeCodeStudy  
       2022-01-24 16:02:42 +08:00
    把域名解析到别的 IP
    bruce0
        19
    bruce0  
       2022-01-24 16:02:42 +08:00
    上广告可还行 /dog
    zhifSu
        20
    zhifSu  
       2022-01-24 16:03:45 +08:00
    改端口
    coolmenu
        21
    coolmenu  
       2022-01-24 16:04:03 +08:00   ❤️ 1
    404 页面弹出个人简历呀!
    Leonard
        22
    Leonard  
       2022-01-24 16:05:04 +08:00   ❤️ 1
    哈哈哈哈给这些页面上广告
    liuidetmks
        23
    liuidetmks  
       2022-01-24 16:11:58 +08:00
    someonedeng
        24
    someonedeng  
       2022-01-24 16:12:43 +08:00
    把日志关了,反正这种日志没啥用
    mazyi
        25
    mazyi  
       2022-01-24 16:16:08 +08:00
    上广告真是一条不错的路子呀
    zoharSoul
        26
    zoharSoul  
       2022-01-24 16:58:09 +08:00
    200+的 qps, 我可以硬抗 /狗头
    orm
        27
    orm  
       2022-01-24 17:03:14 +08:00 via iPhone   ❤️ 27
    Itoktsnhc
        28
    Itoktsnhc  
       2022-01-24 17:10:10 +08:00
    报警?
    sadfQED2
        29
    sadfQED2  
       2022-01-24 17:19:27 +08:00 via Android
    @Itoktsnhc 这玩意还能报警?警察能懂这玩意?
    lilihangzhou
        30
    lilihangzhou  
       2022-01-24 17:58:28 +08:00
    广告搞起来,这可都是流量啊,[手动狗头]
    ijustdo
        31
    ijustdo  
       2022-01-24 18:19:26 +08:00
    上白名单, 存在的需要对外的 url 才能访问, 其它一律 403, 然后加上 ip 请求次数限制
    maxat20xx
        32
    maxat20xx  
       2022-01-24 18:22:48 +08:00 via Android
    上广告的都是人才…
    shyrock
        33
    shyrock  
       2022-01-24 18:25:59 +08:00
    @orm #27 看说明 gzip 炸弹是针对浏览器的。。。这漏洞扫描程序应该不会像真的浏览器一样解压缩 gzip 吧。。。
    xiaoding
        34
    xiaoding  
       2022-01-24 18:28:10 +08:00   ❤️ 2
    可能你的网站的 ip 段正好是一个易被攻击的段。
    封 url 和 ip 都可以解决的,ip 的话代理 ip 和秒拨 ip 都是有限的,url 的话自己可以找个安全扫描的字典,把字典里面的 url 拉黑
    WordTian
        35
    WordTian  
       2022-01-24 18:34:30 +08:00 via Android
    @shyrock 会解的,指着解析响应体确认漏洞呢
    yancy0l
        36
    yancy0l  
       2022-01-24 18:35:44 +08:00
    这个上广告,估计无效吧,随机的页面访问,访问不到广告页,肯定是无效访问占 90%以上,而且,估计广告的模式,也有统计时长的设计,是不是 DDos 随便搞就行的。要不大家都发了
    FrankAdler
        37
    FrankAdler  
       2022-01-24 19:21:43 +08:00
    可以针对 404 的不写日志
    phpnote
        38
    phpnote  
       2022-01-24 19:22:02 +08:00
    @yancy0l 这个简单, 没命中路由的请求直接转到广告页就行了
    bmpidev2019
        39
    bmpidev2019  
       2022-01-24 19:52:05 +08:00 via iPhone
    上 cloudflare 吧
    wanguorui123
        40
    wanguorui123  
       2022-01-24 20:25:36 +08:00
    没被 DDos 过
    felixcode
        41
    felixcode  
       2022-01-24 20:40:12 +08:00
    https://www.abuseipdb.com/
    找几个类似网站报一下吧,既然解决不了,也不让对方舒坦。
    aru
        42
    aru  
       2022-01-24 20:44:33 +08:00
    fail2ban 写个自定义规则自动封 IP 就行了
    liuxu
        43
    liuxu  
       2022-01-24 20:48:41 +08:00
    1000000/3600=277 ,问题不大,随便一个小服务器就能抗,fail2ban 确实可以抗,cf 减速云
    jeeyong
        44
    jeeyong  
       2022-01-24 20:55:06 +08:00
    无解...
    我现在能调动的 IP 都大几百万个...
    黑产大哥可能都更牛逼...
    jackzhengjbs
        45
    jackzhengjbs  
       2022-01-24 21:00:20 +08:00 via Android
    @jeeyong 怎么抓的肉鸡啊?可以分享下嘛
    jeeyong
        46
    jeeyong  
       2022-01-24 21:02:55 +08:00
    @jackzhengjbs 我不抓肉鸡啊...
    lower
        47
    lower  
       2022-01-24 21:04:45 +08:00
    @phpnote 现在广告商的统计系统应该也没那么傻,应该能精确识别是不是有效点击行为来的吧
    Huozy
        48
    Huozy  
       2022-01-24 22:05:09 +08:00
    @sadfQED2 #29 你好,特殊专职(网络安全技术)警察
    datocp
        49
    datocp  
       2022-01-24 22:16:41 +08:00 via Android
    如果带有扫端口就好办了,搜索一下 iptables recent hacker 。
    其它的可以尝试用 quota 。这些就要熟悉相关命令用 shell 处理了。
    iBaoger
        50
    iBaoger  
       2022-01-24 22:21:49 +08:00 via Android
    试试开源的 fail2ban
    CallMeReznov
        51
    CallMeReznov  
       2022-01-24 22:27:38 +08:00
    @Leonard #22
    @lilihangzhou #30
    @yancy0l #36
    @lower #47

    这种访问行为无效是肯定的不用说
    拿 AD 去怼 CC,自己的 AD 账户估计分分钟封号.
    laoyur
        52
    laoyur  
       2022-01-24 22:47:28 +08:00   ❤️ 2
    说上广告的把我逗笑了
    连正经访问都可能被鸡贼到扣量一麻麻,更何况这种异常流量?
    v2eb
        53
    v2eb  
       2022-01-24 23:09:16 +08:00
    上家公司遇到过,转到澳门威尼斯
    shayuvpn0001
        54
    shayuvpn0001  
       2022-01-24 23:15:17 +08:00   ❤️ 3
    hw 的本还是先把 WPBT 解决了再说吧。。。

    参考: https://www.zhihu.com/question/390155205/answer/1182942387
    https://www.zhihu.com/question/390365275

    PS:商务本是各家必争之地,每家都还有细分的:

    DELL - 入门商务 Vostro ,进阶 Inspiron ,高级 Latitude ,顶级 XPS/Precision
    联想 - 入门 Yoga/ThinkBook/Thinkpad L14 ,进阶 Thinkpad T14/T14s ,高级 T15p ,顶级 Thinkpad X1 Carbon / X1 Extreme / P1 / P15 / P17
    HP - 入门 Pavilion ,进阶 Probook/Zhan66 ,高级 EliteBook ,顶级 ZBook / ZBook Studio / ZBook
    patx
        55
    patx  
       2022-01-24 23:19:29 +08:00
    设置 url 白名单,白名单外的 url 返回敏感词随机文本
    MacDows
        56
    MacDows  
       2022-01-24 23:19:46 +08:00 via Android   ❤️ 4
    @shayuvpn0001 你走错了
    galikeoy
        57
    galikeoy  
       2022-01-24 23:26:04 +08:00   ❤️ 2
    @shayuvpn0001 #54 哥们 走错贴了😂
    shayuvpn0001
        58
    shayuvpn0001  
       2022-01-24 23:26:26 +08:00
    @MacDows 是的,又没办法删,贼尴尬。。。
    eason1874
        59
    eason1874  
       2022-01-24 23:52:33 +08:00   ❤️ 16
    机器人扫描的,没多少流量,而且是有规律的,写几条规则屏蔽就行了。比如

    location ~ ^/(wp|think-php|phpmyadmin)/.*\.php$ {
    access_log off;
    log_not_found off;
    return 444;
    }

    444 状态码表示不返回内容就直接断开连接,省流量。如果你的博客用到这些路径,那你就配置重写,放到子目录
    notgoda
        60
    notgoda  
       2022-01-25 00:35:18 +08:00 via iPhone
    @eason1874
    @eason1874 大佬,请问这个直接加到 nginx 的 config 配置文件中就可以吗?
    majula
        61
    majula  
       2022-01-25 00:37:47 +08:00 via iPhone
    说接入广告的,是不了解广告平台的规则吧。。

    这种是会被判定为恶意刷点击,被广告平台封号的
    ezrameow
        62
    ezrameow  
       2022-01-25 00:46:09 +08:00
    @Leonard Google Adword 反作弊会把你封了的...(
    eason1874
        63
    eason1874  
       2022-01-25 01:03:53 +08:00
    @notgoda #60 对。但是我这个匹配规则是根据楼主提供的例子写的,要使用,还得根据自己的网站需求和日志去写。这些机器人扫描的是开源 CMS 文件路径和常见的备份文件名 sql 和 zip ,路径都是有规律的,看日志总结规律写进匹配规则就行了
    PolarBears
        64
    PolarBears  
       2022-01-25 01:22:01 +08:00
    直接限制请求频率吧
    xy90321
        65
    xy90321  
       2022-01-25 01:31:01 +08:00 via iPhone
    @orm 学到了…
    xuanbg
        66
    xuanbg  
       2022-01-25 08:02:05 +08:00
    看标题还以为是被 ddos 了。点进来一看,好家伙,这不是脚本扫描嘛,简直正常得不得了,无视即可。
    winglight2016
        67
    winglight2016  
       2022-01-25 08:09:59 +08:00
    在 404 页面放上管理员密码,再写一句,求大佬放过,或者把 404 之间转到管理登录页面,告诉他真正的目标,就不会疯狂乱扫了
    YaakovZiv
        68
    YaakovZiv  
       2022-01-25 09:09:08 +08:00
    我第一个想到就是部署蜜罐产品,让对方沉浸在在入侵成功的喜悦中,可以安静很多天。
    zturns
        69
    zturns  
       2022-01-25 09:15:47 +08:00 via Android
    我的 wordpress 站是被人暴力破解,安装了 wordfence 遇到攻击就屏蔽了
    byte10
        70
    byte10  
       2022-01-25 09:21:52 +08:00   ❤️ 2
    @maxat20xx 我也是好奇,笑死我了😂。我想半天,别人不都是 http 客户端请求过来了嘛,跟广告有毛关系啊。我还以为我自己傻了,还好你出现,说明我还没傻。。。差点被评论整懵了 。
    noahzh
        71
    noahzh  
       2022-01-25 10:15:01 +08:00
    所有 404 都跳转到广告页.
    NeoZephyr
        72
    NeoZephyr  
       2022-01-25 10:19:00 +08:00
    jiangwei2222
        73
    jiangwei2222  
    OP
       2022-01-25 10:29:59 +08:00
    @eason1874 #59 好办法,多谢提醒
    justest123
        74
    justest123  
       2022-01-25 10:55:26 +08:00
    说上广告的学会了!
    libook
        75
    libook  
       2022-01-25 11:17:01 +08:00   ❤️ 1
    看路径很显然是自动扫描漏洞的机器人,这种都是用云厂商的 IP 段,按照常见的漏洞库无差别扫的,扫到漏洞就会有黑产来拿肉鸡或者勒索。

    封 IP 没用的,因为都是用代理池,成千上万个 IP ,而且可以做到喷洒攻击,每个 IP 频率跟正常用户差别不大,但顶不住 IP 量大。

    要想简单粗暴就上 WAF 或人机验证,有些产品是有代理池 IP 库的,可以识别来的 IP 是不是机器人的代理,然后自动限制。
    iqoo
        76
    iqoo  
       2022-01-25 11:43:10 +08:00
    这种攻击 10 分钟搞定
    leafleave
        77
    leafleave  
       2022-01-25 12:01:45 +08:00
    过几天发个贴看看 gzip 炸弹效果如何?
    malusama
        78
    malusama  
       2022-01-25 12:07:21 +08:00
    gzip 炸弹没用的..人家又不是浏览器. 不自动解压的
    leafleave
        79
    leafleave  
       2022-01-25 12:09:19 +08:00   ❤️ 1
    给他重定向到挖矿脚本网站如何
    rpish
        80
    rpish  
       2022-01-25 12:35:32 +08:00
    @v2eb 哈哈哈 好奇问句 后来怎样了?
    2i2Re2PLMaDnghL
        81
    2i2Re2PLMaDnghL  
       2022-01-25 13:06:19 +08:00
    @malusama OP 发的是管理页面,可能会分析 HTTP 载荷判断是管理页面还是空页面;如果某个管理页面的 CSRF Token 嵌在页面内的话还必须读出来。
    raysonlu
        82
    raysonlu  
       2022-01-25 14:10:28 +08:00
    我不信能有无穷的 ip 资源,稍微用 php 中用 redis 记录一个 ip 如果一分钟内访问了两次 404 路径,立马在入口最开始的地方拦截返回 404 。拉黑的 ip 放一块儿定期拉出来写入 fail2ban 。当然还可以人为或代码判断,直接对某段 ip 拉闸。期待 op 后续更新
    wonderfulcxm
        83
    wonderfulcxm  
       2022-01-25 14:12:39 +08:00 via iPhone
    外行太多了吧,这种怎么可能用得上广告
    triptipstop
        84
    triptipstop  
       2022-01-25 14:28:00 +08:00
    反正是没有价值的网站,直接把域名解析到 127.0.0.1 就行了。
    supuwoerc
        85
    supuwoerc  
       2022-01-25 14:33:15 +08:00
    100 万请求中有 100 万都是 404 ,说起来有些心酸了,活人没有一个(落泪狗头)
    WWwwMMmmMMmmWWww
        86
    WWwwMMmmMMmmWWww  
       2022-01-25 14:59:57 +08:00
    别上广告 不然谷歌可能倒扣你钱。因为你涉及到刷量浪费谷歌的流量,不会给你广告费还要你支付服务器流量费用。
    yundun2021
        87
    yundun2021  
       2022-01-25 16:39:14 +08:00
    可以试着帮你解决看看
    tankren
        88
    tankren  
       2022-01-25 16:58:39 +08:00
    做一个页面塞满广告
    404 跳转到这个页面
    v2eb
        89
    v2eb  
       2022-01-25 20:57:54 +08:00
    @rpish #80 #80 被警察找上门
    guyeu
        90
    guyeu  
       2022-01-25 21:21:05 +08:00
    nginx 白名单呗,白名单以外的 path 统统拒绝
    muzuiget
        91
    muzuiget  
       2022-01-25 22:16:49 +08:00
    正经就只有上 Cloudflare 这种东西防,挂广告 /重定先 /压缩炸弹都是自我娱乐,人家都黑产了,还以为对方用 headless 浏览器之类的来访问?
    sadfQED2
        92
    sadfQED2  
       2022-01-25 23:26:49 +08:00 via Android
    @muzuiget 你看 append 里面发的链接,里面有测试程序,不止对浏览器有影响
    JensenQian
        93
    JensenQian  
       2022-01-26 00:53:58 +08:00 via Android
    直接 hexo,hugo ,gridea 这种静态化博客,放 cloudflare pages 上,随便他玩去
    muzuiget
        94
    muzuiget  
       2022-01-26 02:00:17 +08:00
    @sadfQED2 没有用的,对方客户端可以不读取 body 部分的,就读取 header 部分,判断一下相关网址是否存在停了。还是那句,人家都搞黑产了,有专门工具,不要以为人家还用浏览器那一套标准来“友善地”访问服务器。
    LeeReamond
        95
    LeeReamond  
       2022-01-26 04:27:22 +08:00
    话说感觉 gzip 炸弹还是应该升级一下,很有必要。1M 的 body 别说有没有用,先把自己搞死是肯定了。。
    jiuhuicinv
        96
    jiuhuicinv  
       2022-01-26 05:56:42 +08:00
    限制请求频率
    sikong31
        97
    sikong31  
       2022-01-26 08:16:51 +08:00
    域名解析到 gov.cn
    sadfQED2
        98
    sadfQED2  
       2022-01-26 08:43:03 +08:00 via Android
    @muzuiget 他如果要扫漏洞,不解析 body 怎么知道有没有漏洞,只知道有 admin 页面也没用呀,总得解析出来吧
    funbox
        99
    funbox  
       2022-01-26 09:12:35 +08:00
    GZIP 炸弹 带宽不会被拖垮?
    shiji
        100
    shiji  
       2022-01-26 09:31:02 +08:00   ❤️ 1
    @funbox 炸弹么,压缩后 1M ,解压后 1G
    1  2  
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2147 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 01:03 · PVG 09:03 · LAX 17:03 · JFK 20:03
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.