提防坏人:Nginx 拒绝指定IP访问

最新推荐文章于 2023-09-15 22:10:39 发布
最新推荐文章于 2023-09-15 22:10:39 发布
阅读量9.9k 收藏 4
点赞数 2
分类专栏: Linux Basics
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/linuxnews/article/details/54587963
版权
导读闲来无事,登陆服务器,发现有个IP不断的猜测路径、试图往服务器上传文件(木马)。

于是查看了之前的日志,无奈鄙站被攻击者盯上了,不断的有不同的IP试图上传木马。看来坏人还是有的。由于不想让鄙站沦为肉鸡,所以就想写个简单的脚本,来阻止攻击者的IP访问。

攻击者:

195.154.216.165 - - [28/Nov/2015:23:10:40 +0800] "POST /wp-content/themes/twentyten/404.php HTTP/1.1" 404 27 "http://www.z-dig.com/11m.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)" "-"
195.154.216.165 - - [28/Nov/2015:23:10:40 +0800] "POST /wp-content/themes/twentythirteen/404.php HTTP/1.1" 404 27 "http://www.z-dig.com/11m.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)" "-"
195.154.216.165 - - [28/Nov/2015:23:10:40 +0800] "POST /wp-content/themes/twentytwelve/404.php HTTP/1.1" 404 27 "http://www.z-dig.com/11m.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)" "-"
195.154.216.165 - - [28/Nov/2015:23:10:40 +0800] "POST /wp-content/uploads/phptest.php HTTP/1.1" 404 27 "http://www.z-dig.com/11m.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)" "-"
195.154.216.165 - - [28/Nov/2015:23:10:41 +0800] "POST /xyr/confings.asp HTTP/1.1" 404 1569 "http://www.z-dig.com/11m.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)" "-"
195.154.216.165 - - [28/Nov/2015:23:10:41 +0800] "POST /xz.asp;.jpg HTTP/1.1" 404 564 "http://www.z-dig.com/11m.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)" "-"
195.154.216.165 - - [28/Nov/2015:23:10:41 +0800] "POST /yanyu/?q={${eval%28$_POST[u]%29}} HTTP/1.1" 404 1569 "http://www.z-dig.com/11m.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)" "-"
195.154.216.165 - - [28/Nov/2015:23:10:42 +0800] "POST /ztxxw/Images/images.asp HTTP/1.1" 404 1569 "http://www.z-dig.com/11m.php" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)" "-"
[root@z-dig www]# grep '195.154.216.165' 2015-11-28.access.log|wc -l

[root@z-dig www]#
[root@z-dig www]# curl ipinfo.io/195.154.216.165;echo''
{
  "ip": "195.154.216.165",
  "hostname": "fr.07.gs",
  "city": "",
  "region": "",
  "country": "FR",
  "loc": "48.8600,2.3500",
  "org": "AS12876 ONLINE S.A.S."
}
[root@z-dig www]#

法国的哥们竟然试了180多次!辛苦了。

用 shell 和定时任务来实现吧。>_<

网站跑在 Nginx 上,所以可以使用 Nginx 的 Deny 来拒绝攻击者的IP访问。

那么思路就出来了,定期(五分钟或十分钟)获取攻击者的IP,将IP放入到黑名单(Nginx 配置文件),并 reload 使其生效。

由于前期规划的比较好,网站的访问日志放在了一个指定的目录,Nginx 的错误日志也放在了一个指定的目录。网站的访问日志每日进行切割。Nginx 的错误日志没有进行切割。

下面就是我的思路和操作步骤:

通过 Nginx 的错误日志(为什么不使用访问日志)来获取攻击者的IP。之前没有对 Nginx 的错误日志进行定时切割,为了方便统计攻击者的IP所以,编写脚本并加入定时任务,使错误日志每小时切割一次,并且每小时对黑名单文件进行清空。

错误日志切割、清空黑名单脚本:

[root@z-dig scripts]# cat rotate-nginx-error-logs.sh 
#!/bin/bash
# Rotate nginx error logs and clean block ip 's configure file
# Nginx pid file : /application/nginx/logs/nginx.pid
# Nginx error logs directory : /data/logs/nginx
# Block Ip 's configure file : /application/nginx/conf/website/blockip.conf 
# Default log name : error.log
# Author : Mr.Zhou
# E-mail : zhou@z-dig.com

NGX_PID=/application/nginx/logs/nginx.pid
NGINX_CMD=/application/nginx/sbin/nginx
LOGS_DIR=/data/logs/nginx
LOG_NAME=error.log
BLOCK_IP_FILE=/application/nginx/conf/website/blockip.conf

cd $LOGS_DIR &&
/usr/bin/rename $LOG_NAME $(/bin/date +%F-%H -d "last hour").$LOG_NAME $LOG_NAME &&
/bin/kill -USR1 $(cat $NGX_PID)
>$BLOCK_IP_FILE &&
$($NGINX_CMD -s reload)
[root@z-dig scripts]#

获取攻击者IP脚本:

该脚本从 Nginx 的错误日志中统计出超过20次试图猜测路径或上传文件的IP,并将这些IP加入到 Nginx 的配置文件。若有新增加的IP则 reload Nginx 使配置文件生效,若没有新增IP则不进行reload。

[root@z-dig scripts]# cat block-ip.sh 
#!/bin/bash
# Author  : Mr.Zhou
# Email   : zhou@z-dig.com
# Website : http://www.z-dig.com
# block ip

ERR_LOG=/data/logs/nginx/error.log
BLOCK_IP_FILE=/application/nginx/conf/website/blockip.conf
BLOCKED_IP=/dev/shm/blocked-ip.txt
BLOCK_IP=/dev/shm/block-ip.txt
NGINX_CMD=/application/nginx/sbin/nginx

/bin/cp $BLOCK_IP_FILE $BLOCKED_IP &&
/bin/sed -nr 's#.*[^0-9](([0-9]+\.){3}[0-9]+).*#\1#p' $ERR_LOG |/bin/awk '{IP[$1]++}END{for (i in IP) print IP[i],i}'|/bin/awk '{if($1>20)print "deny "$2";"}' >$BLOCK_IP &&
/bin/grep -v -f $BLOCK_IP_FILE $BLOCK_IP >>$BLOCK_IP_FILE &&
$($NGINX_CMD -s reload)
[root@z-dig scripts]#

将拒绝指定IP访问的配置文件(黑名单)单独存放,并在 nginx 主配置文件中 include 进去。

[root@z-dig conf]# grep blockip.conf nginx.conf
  include website/blockip.conf;
[root@z-dig conf]#

blockip.conf 文件格式如下:

[root@z-dig website]# cat blockip.conf 
deny 195.154.211.220;
deny 195.154.188.28;
deny 195.154.188.186;
deny 180.97.106.161;
deny 180.97.106.162;
deny 180.97.106.36;
deny 195.154.180.69;
deny 195.154.211.26;
deny 221.229.166.247;
deny 180.97.106.37;
deny 195.154.216.164;
deny 195.154.216.165;
[root@z-dig website]#

将脚本放入定时任务执行:

每小时对 Nginx 的错误日志进行切割并且清空一次被拒绝访问IP的配置文件,若不清空的话,此IP将终生不能访问,若它再次攻击则会再次进入黑名单,>_<。 清空命令放在了切割脚本的尾部。

可以自己决定统计频率,根据指定的频率执行脚本,获取攻击者的IP,若此IP已经在黑名单中,则会忽略掉(由于错误日志一小时切割一次,所以在一小时内会出现重复的IP)。然后把剩下的新攻击者的IP追加到黑名单。并 reload Nginx 。若没有新增的攻击者IP则什么都不做。

[root@z-dig ~]# crontab -l
# rotate nginx log everyday
00 00 * * * /bin/bash /application/scripts/rotate-nginx-logs.sh &>/dev/null
# rotate nginx error log every hour and clean the block ip file
00 */1 * * *  /bin/bash /application/scripts/rotate-nginx-error-logs.sh &>/dev/null
# check hacker's ip every ten minutes
*/10 * * * * /bin/bash /application/scripts/block-ip.sh &>/dev/null
[root@z-dig ~]#

以下是脚本运行一段时间的攻击者IP

[root@z-dig ~]# cat /application/nginx/conf/website/blockip.conf 
deny 195.154.211.220;
deny 195.154.188.28;
deny 195.154.188.186;
deny 180.97.106.161;
deny 180.97.106.162;
deny 180.97.106.36;
deny 195.154.180.69;
deny 195.154.211.26;
deny 221.229.166.247;
deny 180.97.106.37;
deny 195.154.216.164;
deny 195.154.216.165;
[root@z-dig ~]#

过段时间,再列出一份黑名单IP,看是否有变化。

[root@z-dig ~]# cat /application/nginx/conf/website/blockip.conf 
deny 195.154.188.224;
[root@z-dig ~]# curl ipinfo.io/195.154.188.224;echo ''
{
  "ip": "195.154.188.224",
  "hostname": "195-154-188-224.rev.poneytelecom.eu",
  "city": "",
  "region": "",
  "country": "FR",
  "loc": "48.8600,2.3500",
  "org": "AS12876 ONLINE S.A.S."
}
[root@z-dig ~]# grep '195.154.188.224' /data/logs/nginx/error.log |wc -l

[root@z-dig ~]# grep '195.154.188.224' /data/logs/nginx/error.log |grep -v 'access forbidden' |wc -l

[root@z-dig ~]# 
[root@z-dig ~]# tail -n 1 /data/logs/nginx/error.log 
2015/11/30 10:47:53 [error] 30754#0: *37828 access forbidden by rule, client: 195.154.188.224, server: www.z-dig.com, request: "GET / HTTP/1.1", host: "www.z-dig.com", referrer: "http://www.z-dig.com"
[root@z-dig ~]#

看来多少还是管点用的。一共 access forbidden by rule 了 102-24=78 次。

适当的改改脚本,保存黑名单的历史数据,定期将大于1000的IP直接放入iptables!

本文原创地址:http://www.linuxprobe.com/nginx-deny-ip-access.html

免费提供最新Linux技术教程书籍,为开源技术爱好者努力做得更多更好:http://www.linuxprobe.com/thread

Linux运维
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nginx屏蔽F5心跳日志、指定IP访问日志
09-30
主要介绍了Nginx屏蔽F5心跳日志、指定IP访问日志,本文直接给出配置示例,需要的朋友可以参考下
手把手教你绕过403访问资源
MachineGunJoe666
07-08 3415
在浏览网站的时候,经常会遇到403的状态码,表示不允许访问。该状态表示服务器理解了本次请求但是拒绝执行该任务,该请求不该重发给服务器。指的是服务器端有能力处理该请求,但是拒绝授权访问。这就意味着这里面有东西,我们只需绕过它。
Nginx 拒绝指定IP访问
bahuzhen6750的博客
06-26 1145
来源 : http://www.ttlsa.com/nginx/nginx-deny-ip-access/ 闲来无事,登陆服务器,发现有个IP不断的猜测路径、试图往服务器上传文件(木马)。于是查看了之前的日志,无奈鄙站被攻击者盯上了,不断的有不同的IP试图上传木马。看来坏人还是有的。由于不想让鄙站沦为肉鸡,所以就想写个简单的脚本,来阻止攻击者的IP访问。 攻击者: 195.1...
Nginx 使用---拒绝指定IP访问
Asa_Prince的博客
04-14 2654
一、问题描述 服务器可能会受到攻击者的恶意访问,攻击者IP会不断的猜测路径,上传文件(木马);或者进行短信消耗;或者破解密码,等等行为。我们要做的是,对这些恶意的访问IP进行拦截。 二、Nginx的日志格式 因为首先一定是要查看日志的,所以首先熟悉下Nginx的日志格式描述: log_format main '$remote_addr - $remote_user [$time_l...
nginx 访问限制与访问控制
最新发布
weixin_61428407的博客
09-15 1918
nginx 访问限制与访问控制的配置
Nagios监控nginx服务详细过程
csdn's blog
06-25 1万+
1在nginx服务器上安装nrpe客户端: Nginx的服务需要监控起来,不然万一down了而不及时修复,会影响web应用,如下web应用上面启动的nginx后台进程 [root@lb-net-2 ~]# ps aux|grep nginx nobody 15294 0.0 0.0 22432 3464 ? S Jul03 0:05 nginx: worke...
使用Nginx实现根据 IP 匹配指定 URL
09-30
最近的一个项目,需要特定的IP访问某专题页面的时候跳转到网站首页,思考了下,直接使用NGINX实现,分享给大家。
Nginx 禁止IP访问 只允许域名访问
09-30
今天要在Nginx上设置禁止通过IP访问服务器,只能通过域名访问,这样做是为了避免别人把未备案的域名解析到自己的服务器IP而导致服务器被断网,从网络上搜到以下解决方案
Nginx限制IP访问某些页面的操作
09-29
主要介绍了Nginx限制IP访问某些页面的操作,具有很好的参考价值,希望对大家有所帮助。一起跟随小编过来看看吧
nginx排查502错误
awiw7848的博客
07-03 633
排查502错误1、查看/usr/local/nginx/conf/nginx.conf从而知道其错误日志在哪。重点查看其错误日志。2、如果是/tmp/dd.sock2017/05/01 18:48:33 [error] 2015#0: *1 access forbidden by rule, client: 192.168.81.1, server: localhost, request...
解决Nginx出现403 forbidden (13: Permission denied)报错的四种方法
热门推荐
习惯的力量
07-18 59万+
虚拟机中通过yum安装nginx的,安装一切正常,但是访问时报403,nginx.config ps chmod reboot 于是查看nginx日志,路径为/var/log/nginx/error.log。打开日志发现报错Permission open() "/data/www/1.txt" failed (13: Permission denied), client: 192.
Nginx禁止某个IP或者IP访问的方法
weixin_46142540的博客
10-24 3613
Nginx禁止某个IP或者IP访问的方法
开源入侵检测系统OSSEC的搭建及使用
东方欲晓的晓东的博客
07-08 4466
环境centos7 官网 http://www.ossec.net/ Linux下载地址 https://github.com/ossec/ossechids/archive/2.9.4.tar.gz wget https://github.com/ossec/ossec-hids/archive/2.9.4.tar.gz tar -xzvf 2.9.4.tar.gz ...
XAMPP提示 Access forbidden情况的处理
编程圈子-谢厂节的博客
05-12 3万+
Access forbidden! You don't have permission to access the requested directory. There is either no index document or the directory is read-protected. If you think this is a server error, please conta
nginx 配置|禁止访问规则
craftsman2020的博客
08-26 4514
nginx conf配置; 正向代理;反向代理;ip访问限制;特定网页访问限制;
Nginx禁止某IP(段)访问的方法
weixin_45815859的博客
08-30 2689
当你的Nginx服务器想禁止某个IPIP访问时,可以通过配置文件来达到目的 Nginx禁止某IP(段)访问 修改Nginx配置文件nginx.conf Nginx配置访问IP可以修改nginx.conf文件,只需要在server中添加allow和deny的IP即可,如下: server { listen 80; server_name localhost; allow all; deny 123.123.123.123; error_page .
Nginx配置之访问控制、目录用户验证、防盗链
wsy的博客
11-18 695
1.访问控制 只允许本机访问a目录 其他机器拒绝访问 location /a { allow 127.0.0.1; allow 192.168.10.42; deny all; return 404; #return http://www.jd.com; } 2.目录用户验证 location /b { auth_basic "wsy登陆验证";...
nginx配置禁止访问目录或禁止访问目录下的文件
墨抒颖
09-08 4597
某些网站系统需要用户上传图片等文件到某些目录下,难免程序有些漏洞,导致用户上传了php、cgi等等可执行的文件,导致网站陷入非常为难的境地. 此时我们可以通过nginx来禁止用户访问这些目录下的可执行文件。如果不禁止,nginx会直接去下载web目录下文件,如果有配置文件,并可以直接暴露一些配置文件源代码。测试时要清理浏览器缓存,浏览器会缓存下载的文件。如果有类似配置文件,建议不要放在web目录下,会更加安全。 禁止访问特定后缀文件 location ~ \.(php|jsp|txt)$ { de
nginx禁止指定ip访问怎么配置
03-24
nginx的配置文件中,可以使用deny指令禁止指定IP访问。 例如,如果要禁止IP地址为192.168.1.100的用户访问nginx服务器,可以在配置中加入以下代码: location / { deny 192.168.1.100; # 其他配置项 } 这使得...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值