前言
不知是什么情况,本来准备打开站点写点东西的,结果发现打开非常慢,连接上服务器之后才发现,被人CC了。不过量不是很大,Web服务器和数据库没有瘫掉。
处理步骤
第一步
首先打开网站日志:本站遭受CC攻击,正在进行处理。
会发现非常非常多的数据,不过特征是都在请求 xmlrc.php 这个文件。这个特征非常明显。我先把网站目录下的 xmlrc.php 备份一份到电脑上,然后删掉它。这样,就会默认返回404了。对数据库和PHP就没有影响了。
第二步
去 CloudFlare 开启CC五秒盾,因为在详细研究出对策之前,先靠着CF挡一下。
第三步
使用 Fail2ban ,配合xmlrc监狱规则来使用 iptables自动封禁ip。
参考文章:https://www.gubo.org/fail2ban-protect-wordpress-from-xmlrpc-post-cc-attack/
因为 iptables 和 fail2ban 的生效时间太长,所以暂时作为备选方案。先晾在这里。
第四步
采用KVMLA老板的方法,用 ip route 来封锁,效果非常显著。代码:
cat http://www.zhujiboke.com_nginx.log | grep ‘xmlrpc’ | awk ‘{print “ip route add blackhole “, $1}’| sort -n | uniq | sh
把日志里所有涉及到 xmlrpc 的ip地址全部使用ip route封锁,立刻生效。
第五步
将网站数据立马打包下载到本地。因为不知道攻击者的意图,也不知道攻击者之后会采用何种方式来扩大攻击。数据是最重要的,保留一份以备最极端的情况发生。
主机博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明本站遭受CC攻击,正在进行处理。!
LOG@X.X.B 