筆者長期以來一直做得工作基本上就是開發公司的PHP程序,另外維護幾台CentOS服務器,在長時間的工作中總結了一套對付攻擊的小手段,不敢藏私,分享給大家,希望大家喜歡!
首先說一下服務器那邊的設定狀況好了,服務器在公司內部,一條光纖直接接入,有7個固定IP,每一台服務器均有自己的固定IP,另外每一台服務器均為雙網卡,除了有一個外網固定IP外還同屬於一個內網,這7個固定IP是通過一台帶有路由功能的硬件防火牆進行分發的.硬件防火牆只對外開放了80端口,其余的全部都關掉了.而服務器則基本上都是CentOs,只有一台是windows.CentOs全部開了Linux系統自帶的防火牆,遠程管理的時候通過某種特殊手段連接到這個服務器所在的局域網的某台windows操作系統的服務器上,然後再通過這台windows上安裝的SSH即可操控每一台服務器了,雖然這麼設定非常麻煩,但卻很安全.(這裡補充說一下,每台服務器的防火牆均設定了允許某個內網IP才可SSH單向連線的規則,這設定就比較繁瑣了,小孩子沒有娘說起來話很長,既然很長我就不說了.)
既然如此大家或許會問,只開了一個80還有什麼好攻擊的呢?其實不然,首先有某公司常常會用webbench壓力測試工具來試圖癱瘓nginx,沒辦法因為這套程序之前就是他們開發的,他們知道這套程序運行的時候極其消耗CPU資源.其次有眾多來自內地網友們猜測這套程序的潛在漏洞,例如猜測管理員後台入口,猜測是否有網站備份的壓縮文件放在服務器上等等,他們的這些訪問方式全部都是針對80端口來的,如果不采取某些措施的話Nginx會常常癱瘓掉,導致網站出現錯誤500或錯誤502,而那些猜測的害處我就更不用多說了,對於以上諸多不友好的來訪者筆者只好做一些扼殺手段了.
其實做法說起來也並不復雜,首先我會用php取得來訪者的訪問意圖,如果對方的意圖有鬼或不軌滿足了我的封殺條件,那麼就干掉他吧!首先用PHP自動建立.sh這樣一個文件,這個文件的的內容就是用來改寫linux的防火牆規則(當然了我也可以改寫硬件防火牆的規則,不過太麻煩了,還是偷個懶吧!),修改這個.sh文件的屬性和所有者讓其可以被執行,然後用linux的crontab來取得並執行這個.sh把封殺規則寫入防火牆,同時給筆者發一封Email告知我某個倒霉蛋已經被封殺了即可.
下邊是我的做法:
<?PHP
# 自動封鎖IP QQ群:223494678
# 用法:
# 1.首先把下方的PHP代碼放入被全局require的配置檔內.
# 2.用SSH執行:cat /etc/crontab
# 3.加入下邊兩行:
# #auto lock webbench
# */1 * * * * root /home/wwwroot/bossAdm_Web/webbench.sh;
# 4.重啟crontab的服務:service crontab restart
//封鎖任何來源的WebBench
IF(isSet($_SERVER['HTTP_USER_AGENT']) And Trim($_SERVER['HTTP_USER_AGENT'])!='') {
$_SERVER['HTTP_USER_AGENT']=StrToLower($_SERVER['HTTP_USER_AGENT']);
IF(StriStr($_SERVER['HTTP_USER_AGENT'],'webbench')!==False And (isSet($_SERVER['REMOTE_ADDR']) And Trim($_SERVER['REMOTE_ADDR'])!='')) {
DoLock($_SERVER['REMOTE_ADDR']);
Die();
}
}
//封鎖敏感Url,針對猜測如下url的ip直接封殺 QQ群:223494678
//這段代碼最好是加入到404.php內,這樣效果更大(需要重新配置一下httpd.conf,讓404錯誤頁指向到該404.php) QQ群:223494678
IF(isSet($_SERVER['REQUEST_URI']) And Trim($_SERVER['REQUEST_URI'])!='') {
IF(StriStr($_SERVER['REQUEST_URI'],'/admin')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/sign')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/reg')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/tiki-')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/join')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/config')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/backup')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/www')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/manage')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/password')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/install')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/phpmyadmin')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/webadmin')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/inc')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/user')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/upload')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/setup')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/sys')!==False
Or StriStr($_SERVER['REQUEST_URI'],'/cert')!==False
){
DoLock($_SERVER['REMOTE_ADDR']);
Die();
}
}
//建立sh檔,用途是封鎖ip,該sh檔會被排程以root身份執行. QQ群:223494678
Function DoLock($x){
$p='/home/wwwroot/bossAdm_Web/webbench.sh';
File_Put_Contents($p,"#! /bin/bash\n iptables -I INPUT -s {$x} -j DROP;\n echo \"{$x} - `date`\" | mail -s \"WebBench\" [email protected];\n cat /dev/null > {$p}",LOCK_EX);
Chmod($p,0755);
chown($p,'www');
unSet($p,$x);
}
發問之後有網友問我"特殊手段連接到這個服務器所在的局域網的某台windows操作系統的服務器上"這句話中的特殊手段究竟是什麽手段,好吧我就簡單的說一下好了,說多了我怕砸了自己的碗.首先我會登錄進入公司網站的後臺管理,然後發送一個開放3389的請求,發送之後退出後臺即可,linux服務器接收到請求(只是一個ini文件而已)之後會把這個文件通過samb通過內部局域網丟到windows服務器上,那台windows服務器上有我開發的一個監控端,用來隨時掃描是否有請求,如果有的話這個監控端就會修改硬件防火牆的設定,把3389的映射端口(65525內的某個端口映射到這台windows上的3389)開放一下,此時我就可以用3389方式連線到這台服務器了(從請求發送到開放3389大約只需要1分鐘的時間),只不過要注意的是:要改一下gpedit的設定,讓其在3389連線完畢之後自動建立一個關閉3389的請求,這樣剩下的事就交給那個監控程序來幫我關閉3389的映射端口就行了.
以上,如需交流PHP的朋友可以加我的QQ群:223494678 相信只有交流才能成長!至少我是這麼認為的.:)
