nginx网站被持续***1个月后最终防攻策略

nginx网站被持续被×××1个月后最终防攻策略

 

上上个月架构全部迁移上云以后，总的来说比较稳定，业务量也上来，可爱的坏人也来了，7X24小时不停恶意×××我的网站，第一次收到报警是网站流入流量1分钟以内连续3次超过1000000bps,换算下1M/s秒,平时没那么大流量的啊，当时刚好在朋友家玩，于赶紧开本本远程连接检查，发现全是访问同一个页面的请求，而且是正常访问http 200,应该是被恶意×××了。

发现问题：
发现问题第一反应，赶紧将请求地址截图发给开发们看看，问问这个具体是什么?
最后得知是为短信验证码接口，据后来统计在被持续×××的一个多小时中损失16000多条短信。

 

解决问题：

一期防×××策略：
发现问题当然要立马解决了，当时思路就是统计nginx日志，当单个ip在10秒钟内访问 /account/sendPhoneCode次数超过5次，就禁用这个ip,正常用户不可能有么大的访问量，于是就有了下面的防***shell脚本。

这个脚本加在定时任务里每分钟执行一次，半夜0点自动重启动防火墙，释放IP，基本上防止了***，大概使用了半个月。

#!/bin/bash #write: lijing QQ 858080796 #date:  20160528 v2.0 #description:拦截非法IP   #定义变量 RETVAL=0 Date=$(date '+%Y-%m-%d') Time=$(date '+%Y:%H:%M' -d '-1 minute') MON=$(date|awk -F" " '{print $2}') TODAY=$(date|awk -F" " '{print $3}') Log="/data/logs/nginx/access.log " LINE="70000"   #关键字 Key01="sendPhoneCode"   Status=/tmp/statuS_deny_ip   /sbin/service iptables status > $Status   #定义函数 #禁止时间函数 secure_deny_time(){ Time01=$(date "+%H:%M:%S" -d " -10 second") Time02=$(date "+%H:%M:%S" -d " -9  second") Time03=$(date "+%H:%M:%S" -d " -8  second") Time04=$(date "+%H:%M:%S" -d " -7  second") Time05=$(date "+%H:%M:%S" -d " -6  second") Time06=$(date "+%H:%M:%S" -d " -5  second") Time07=$(date "+%H:%M:%S" -d " -4  second") Time08=$(date "+%H:%M:%S" -d " -3  second") Time09=$(date "+%H:%M:%S" -d " -2  second") Time10=$(date "+%H:%M:%S" -d " -1  second")     echo  "$Time01  $Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 " } #       禁止关键字函数 secure_key(){     tail -n $LINE $LOG |grep "$TODAY\/$MON"|grep -v ^$|grep $TIME|grep $1 |grep $2 |grep $3  |grep $4 |awk -F " " '{print $1}' |sort >> $Deny     echo " grep "$TODAY\/$MON" $LOG |grep -v ^$|grep $TIME|grep $1 |grep $2 |grep $3  |grep $4 |awk '{print $1}' |sort"         } #执行防火墙拦截函数 secure_deny_ip() {         cat $Deny         echo ......................         cat $Deny02     for i in $IP;do         NUM=$(cat $Deny02|grep $i|awk -F" " '{print $1}')        if [ -z $NUM ];then             echo " "         else             if [ $NUM -ge $Dot ];then                 for y in $i;do                     grep $y $Status  >/dev/null 2>&1                      RETVAL=$?                                         [ $RETVAL != 0  ] && echo "/sbin/iptables -I INPUT -s $y  -j DROP" [ $RETVAL != 0  ] && /sbin/iptables -I INPUT -s $y  -j DROP                                          [ $RETVAL != 0  ] && echo "$(date "+%H:%M:%S") $y " >> /tmp/$Date                     #[ $RETVAL != 0  ] && /sbin/iptables -I INPUT -s $y -p  tcp  -j REJECT                 done             fi         fi     done }     NUMBER="1 2 3 4 5 6" for  NUMBER in  $NUMBER   ;do sleep 10s #定义点击次数 Dot Dot=5 Deny=/tmp/secure_deny_tmp_$NUMBER Deny02=/tmp/secure_deny_$NUMBER #第1次,检查当前时间以前10s.  如: 0-10秒 echo "第$NUMBER 次,检查当前时间以前第$NUMBER 个10s.大于 $Dot 次***阻止" echo > $Deny for LOG in `echo $Log` ;do     secure_deny_time     for TIME in $Time01  $Time02 $Time03 $Time04 $Time05 $Time06 $Time07 $Time08 $Time09 $Time10 ;do         secure_key  $Key01      done        cat $Deny|sort|uniq -c > $Deny02             IP=$(cat $Deny02|awk -F" " '{print $2}')         secure_deny_ip  done done exit

二期防×××策略：

Shell脚本运行的半个月时间里，虽然防止了***，但是公司客服反馈有客户被误杀，最严重的是公司有次活动，10秒内发5个短信请求很正常啊，误杀了部分用户,被防火墙禁止IP不能访问任何服务。于是得从nginx应用层找方法，不能用老套方法禁IP了，在网上在找几天的资料解决，几乎没有相同的案例，只能自己创造了。

天道酬勤，终于有了两个思路：
一是nginx结合lua来防***（在网上看得我云里雾里的，最后不会lua选择放弃这个方案）。
二是利用ngx_http_referer_module（当时看了2天官网英文资料，http://nginx.org/en/docs/http/ngx_http_referer_module.html，这个页面的让我找到方法，尤其是nginx的if 语句）。

对比***日志和正常日志发现，其$http-referer是不同的，如下图：
正常访问：

***访问：

最终解决思路：
        1、去掉了原来的 拦截ip策略，不载拦截ip。
        2、启用nignx的location 匹配/account 的$http-referer的过滤，当不是正常$http-referer，直接在再nginx处理。
Nginx配置如下：

location ~ /account(/.*)  {  if ($http_referer ~  "https://www.xxxxxxxx.net/account/sendPhoneCode") {    #如果匹配就直接返回200，返回404，也行啊，自己定。给可爱的***者，不传给后端web                 return 200;        }     #不匹配，传给后端web  proxy_pass  http://web_group/account/; }

整个防×××到现在没有出现任何问题，效果杠杠的。后期会增加第三期，主要是我们NB的开发，从程序级解决，如增加各种验证啊。

 

本文是 巧妙绝情 一个字一个图打出来，参考了好多资料，感谢他们的分享，基于open source分享精神，转载请注明出出。
支持我，请 用力 点击 巧妙绝情 谢谢

参考资料：

http://drops.wooyun.org/tips/734

http://nginx.org/en/docs/http/ngx_http_referer_module.html

http://www.ttlsa.com/nginx/nginx-referer