Linux下apache防恶意访问(攻击)脚本

最新推荐文章于 2022-04-18 15:13:08 发布
最新推荐文章于 2022-04-18 15:13:08 发布
阅读量2k 收藏 1
点赞数 1
分类专栏: shell Note php 文章标签: 恶意 攻击 ddos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wantianwen/article/details/81980138
版权
Note 同时被 3 个专栏收录
8 篇文章 0 订阅
订阅专栏
php
4 篇文章 0 订阅
订阅专栏
shell
1 篇文章 0 订阅
订阅专栏

一、场景:由于公司在行业这块比较出名,经常会受到竞争对手的恶意攻击,导致网站经常访问瘫痪

二、分析:1、某一天内某些IP访问量非常大,2、某一IP连接访问超过的次数到达一定的次数(本文中设置为8)

三、解决思路:通过第二点分析出来的两点问题进行拦截,但要注意的只,只拦截有效URL或者是我们想拦截的URL,举个例子,一个客户访问了网站首页,但客户的请求一次网站首页,连带的同时客户也请求了网站首页所需求加载的各个图片、css、js等资源,这些请求我们是不能算在客户请求里的,对于这样的客户有效访问只算一次,即他只访问了首页

四、提前说明:网站的apache访问日志是一天分割两次的,这样的话,每天的apache访问日志量不会太大,程序分析起来效率会快很多

五、先看一下shell脚本(该shell脚本可以在linux crontab里设置分1到3分钟执行一次):

#!/bin/sh
#危险负载阈值,当系统负载达到该值时启动拦截程序
TOP_SYS_LOAD_NUM=2.1
#安全负载阈值,当系统负载达到该值时关闭拦截程序
SAFE_SYS_LOAD_NUM=0.5
#apache危险连接数,当apache连接数达到该值时启动拦截程序(与系统负载的阈值是“或”的关系)
HTTPD_PROCESS_NUMBER_MAX=350
#apache危险连接数,当apache连接数低于该值时关闭拦截程序(与系统负载的阈值是“且”的关系)
HTTPD_PROCESS_NUMBER_SAFE=250
SYS_LOAD_NUM=`uptime | awk '{print $(NF-2)}' | sed 's/,//'`
HTTPD_PROCESS_NUMBER=`ps -ef | grep httpd | wc -l`
#拦截文件标识(以些来判断是否已经处理拦截状态)
FILEPATH=/var/www/html/test/.htaccess_under_attack.id
ISOLDCONFIGFILE=""

echo $(date +"%y-%m-%d") `uptime`
echo $HTTPD_PROCESS_NUMBER

#满足条件时启动拦截
if [ `echo "$TOP_SYS_LOAD_NUM < $SYS_LOAD_NUM"|bc` -eq 1 ] || [ `echo "$HTTPD_PROCESS_NUMBER_MAX < $HTTPD_PROCESS_NUMBER"|bc` -eq 1 ]
then
        #如果之前已经开始拦截(创建了拦截文件),那么拦截日志一行的后面会加多加一段显示“更新后”,如【图1】
	if [ -f $FILEPATH ]
        then
                ISOLDCONFIGFILE="\t更新后"
        #否则创建拦截文件,如下【图2】
	else
                touch $FILEPATH
        fi
	#切换到拦截网站的根目录
        cd /var/www/html/test/crond/
	#运行拦截php程序
        /usr/bin/php -q crond_under_attack.php > /dev/null 2>&2
	#将php程序更新好的apache的重写文件.htaccess_under_attack覆盖到根目录
        cp /var/www/html/test/.htaccess_under_attack /var/www/html/test/.htaccess_under_attack_temp
        mv -f /var/www/html/test/.htaccess_under_attack_temp /var/www/html/test/.htaccess
        #已启动拦截程序,并将“使用黑名单(智能加强)配置文件”记录日志,如【图2】
	echo -e "##" $(date +"%Y-%m-%d %H:%M:%S") " 使用黑名单(智能加强)配置文件"""$ISOLDCONFIGFILE >> /var/www/html/test/log/apache_access/apache_access_$(date +%Y%m%d).txt
#否则我们不执行拦截程序,或者记录日志告诉我们:之前处于拦截状态,现在已安全,并使用了默认配置文件,并将“使用了默认配置文件”这段话记录在日志,如【图3】
else
	if [ -f $FILEPATH ] && [ `echo "$SAFE_SYS_LOAD_NUM > $SYS_LOAD_NUM"|bc` -eq 1 ] && [ `echo "$HTTPD_PROCESS_NUMBER_SAFE > $HTTPD_PROCESS_NUMBER"|bc` -eq 1 ]
	then
		rm -f $FILEPATH
		cp /var/www/html/test/.htaccess_default /var/www/html/test/.htaccess_default_temp
		mv -f /var/www/html/test/.htaccess_default_temp /var/www/html/test/.htaccess
		echo "##" $(date +"%Y-%m-%d %H:%M:%S") " 使用默认配置文件" >> /var/www/html/test/log/apache_access/apache_access_$(date +%Y%m%d).txt
	else
		echo "Do nothing" `uptime`
	fi
fi

六、shell脚本调用的php脚本(自动检测和更新黑名单)如下:

<?php
	$match_string = "index.php?action=login";
	$match_string_second = "script>";
	//连续访问最大次数
	$match_time = 8;
	//日志文件最后300行最多访问次数
	$matched_numbers_300 = 40;
	//ip白名单
	$ip_white_array = array('172.68.34.45','172.68.46.82');
	//根据不同的时间段,设置一个IP最大的访问次数,如现在是16点那么,一个判断的标准就是该ip在日志中出现的有效访问次数不能超过4000
	$matched_numbers = 3000;
	$date_hour = date("H");
	if(in_array($date_hour, array('06', '07', '19', '20'))) {
		$matched_numbers = 800;
	} else if(in_array($date_hour, array('03', '04', '05', '16', '17', '18'))) {
		$matched_numbers = 4000;
	}	
	
	$log_dir = "../log/under_attack";
	//获取apache配置文件的内容
	$htaccess_content = file_get_contents("/var/log/httpd/access_test_log");
	$htaccess_content_array = explode("\n", $htaccess_content);
	$htaccess_content_array_count = count($htaccess_content_array);
	$htaccess_content_array_300 = array_splice($htaccess_content_array, $htaccess_content_array_count - 300, 300);

	$hack_array = array();
	$hack_array_number = array();
	//字符串中带有这些访问标识的不记录在有效访问次数中
	$match_char = "/(OPTIONS |ajax_|.jpg|.jpeg|.png|.gif|.bmp|.js|.css)/i";
	$date_hour = intval(date("H"));
	foreach($htaccess_content_array as $htaccess_value) {
		$line_array = explode(" - - ", $htaccess_value);
		if(!preg_match($match_char, $htaccess_value)) {
			array_push($hack_array_number, $line_array[0]);
		} else if(strstr($htaccess_value, $match_string)) {
			array_push($hack_array, $line_array[0]);
		} else if(strstr($htaccess_value, $match_string_second)) {
			array_push($hack_array, $line_array[0]);
		}
	}
	
	$hack_array_300 = array();
	$hack_array_number_300 = array();
	foreach($htaccess_content_array_300 as $htaccess_value_300) {
		$line_array_300 = explode(" - - ", $htaccess_value_300);
		if(!preg_match($match_char, $htaccess_value_300)) {
			array_push($hack_array_number_300, $line_array_300[0]);
		} else {
			array_push($hack_array_300, $line_array_300[0]);
		}
	}
	
	$under_attack_ips_insert = "";
	$under_attack_log = "";
	
	$hack_total = array();

	foreach($hack_array_number as $hack_value) {
		if(!in_array($hack_value, $ip_white_array)) {
			if(!isset($hack_total[$hack_value])) {
				$hack_total[$hack_value] = 1;
			} else {
				$hack_total[$hack_value] = $hack_total[$hack_value] + 1;
			}
		}
	}
	
	foreach($hack_total as $total_key => $total_value) {
		if($total_value < $matched_numbers) {
			unset($hack_total[$total_key]);
		}
	}
		
	foreach($hack_array as $hack_value) {
		if(!in_array($hack_value, $ip_white_array)) {
			if(!isset($hack_total[$hack_value])) {
				$hack_total[$hack_value] = 1;
			} else {
				$hack_total[$hack_value] = $hack_total[$hack_value] + 1;
			}
		}
	}

	foreach($hack_total as $hack_key => $hack_time) {
		if($hack_time >= $match_time) {
			$under_attack_ips_insert .= "Deny from " . $hack_key . "\n";
			$under_attack_log .= $hack_key . "\t" . $hack_time . "\n";
		}
	}
	
	
	/***********取倒数300行数据进行分析开始************/
	
	$hack_total_300 = array();

	foreach($hack_array_number_300 as $hack_value_300) {
		if(!in_array($hack_value_300, $ip_white_array)) {
			if(!isset($hack_total_300[$hack_value_300])) {
				$hack_total_300[$hack_value_300] = 1;
			} else {
				$hack_total_300[$hack_value_300] = $hack_total_300[$hack_value_300] + 1;
			}
		}
	}
	
	foreach($hack_total_300 as $total_key => $total_value) {
		if($total_value < $matched_numbers) {
			unset($hack_total_300[$total_key]);
		}
	}
		
	foreach($hack_array_300 as $hack_value_300) {
		if(!in_array($hack_value_300, $ip_white_array)) {
			if(!isset($hack_total_300[$hack_value_300])) {
				$hack_total_300[$hack_value_300] = 1;
			} else {
				$hack_total_300[$hack_value_300] = $hack_total_300[$hack_value_300] + 1;
			}
		}
	}
	
	foreach($hack_total_300 as $hack_key_300 => $hack_time_300) {
		if($hack_time_300 >= $matched_numbers_300) {
			$under_attack_ips_insert .= "Deny from " . $hack_key_300 . "\n";
			$under_attack_log .= $hack_key_300 . "\t" . $hack_time_300 . "\texceed " . $matched_numbers_300 . " in line " . count($hack_array_number_300) . "/300\n";
		}
	}
	
	/***********取倒数300行数据进行分析结束***********/
	
	//要切割的文件模式如【图4】
	$under_attack_split = "#under_attack_ips";
	$under_attack_htaccess = file_get_contents("../.htaccess_under_attack");
	$under_attack_htaccess_array = explode($under_attack_split, $under_attack_htaccess);
	//写入配置文件
	$under_attack_htaccess_content = $under_attack_htaccess_array[0] . $under_attack_split . "\n" . $under_attack_ips_insert . $under_attack_split . $under_attack_htaccess_array[2];
	file_put_contents("../.htaccess_under_attack", $under_attack_htaccess_content);
	file_put_contents($log_dir . "/under_attack_log_" . date("YmdHis") . "_" . $htaccess_content_array_count . ".txt", $under_attack_log);
?>

七、大功告成,至此之后网站抵御了99%的攻击

推荐阅读:http://www.laikanxia.com

 

WanTianwen
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
LinuxApache HTTP Server 2.4.26安装教程
01-11
本文为大家分享了...2.将apr-1.5.2.tar.gz、apr-util-1.5.4.tar.gz、pcre-8.37.tar.gz、httpd-2.4.26.tar.gz解压到/usr/local/目录下 tar -zxvf apr-1.5.2.tar.gz -C /usr/local/ tar -zxvf apr-util-1.5.4.tar.
apache恶意刷新网站和DDOS攻击的技巧
梦想成真那天
04-09 4187
apache的被ddos攻击恶意刷新导致apache运行异常,占用资源过大,现在新发现一个很好的解决方法 一些朋友的应用也遇到过类似的烦恼,基本上都通过安装mod_evasive模块得到了较好的解决。 下面我就来以我在CentOS 5.4上安装基于Apache2.2.9的mod_evasive经过给大家分享一下经验,顺便进一步讲述一下mod_evasive的特性。计算机基础知识 mod_
apache,tomcat缓慢的http拒绝服务攻击修改办法
luminous_you的博客
04-18 5890
httpd.conf中添加 LoadModule reqtimeout_module modules/mod_reqtimeout.so 查看是否存在mod_reqtimeout.so模块 [root@localhost ~]# rpm -ql httpd |grep .so /usr/lib64/httpd/modules/mod_reqtimeout.so 添加配置 [root@localhost ~]# vi /etc/httpd/conf/httpd.conf <IfModule reqt
apache过滤恶意频繁访问_恶意点击多?这里有你需要的妙招
weixin_35910783的博客
01-03 397
做过搜索引擎推广的SEM优化师都知道,网民是通过搜索某个关键词展现广告后点击进入网站再到最后完成转化,而每次产生的点击都会有对应的ip作为来源被我们统计。因为当前搜索引擎推广主要是以点击付费的模式进行,所以也产生了很多恶意点击和无限刷量的情况。那如何有效的避免这些问题呢?今天就带大家了解一下如何从账户搜索词报告、地域报告分析、ip报告分析、分时段报告,来预屏蔽恶意点击和检查处理异常ip的以及如何...
XSS跨站脚本攻击(一)----XSS攻击的三种类型
热门推荐
fendo
12-27 12万+
一、简介 什么是XSS? 百度百科的解释: XSS又叫CSS  (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。 它与SQL注入攻击类似,SQL注入攻击中以SQL语句作为用户输入,从而达到查询/修改/删除数据的目的,而在x
LinuxApache服务器的配置和应用
08-02
熟练掌握LinuxApache服务器的配置和应用 2.实训内容 1)利用Apache服务器建立个人web站点 建立一个人WEB站点;个人用户名为ahxh,个人站存在主目录,与httpd.conf配置文件中的一致;建立个人WEB站点文件index....
一个简单的CC攻击Shell脚本分享
09-15
主要介绍了一个简单的CC攻击Shell脚本分享,主要原理是分析apache或者nginx的访问日志,对大量访问的IP加入iptables进行禁止访问,需要的朋友可以参考下
Linux环境下Apache开启https服务的方法详解
09-14
主要介绍了Linux环境下Apache开启https服务的方法,结合实例形式分析了阿里云环境下获取SSL证书及Apache服务器安装、开启SSL的相关操作技巧,需要的朋友可以参考下
Linux下一个智能重启Apache服务器的脚本分享
09-15
主要介绍了Linux下一个智能重启Apache服务器的脚本分享,当检测到脚本中所设定的服务器异常情况下便可执行自动重启,需要的朋友可以参考下
如何处理linux恶意程序
运维打怪晋级之路
02-16 1519
如何处理linux恶意程序 #####一、准备实验环境SYN洪水攻击 一台Windows Server 2003做控制端、一台linux服务器做被控制端(肉机),使用软件如下: 点击生成器输入控制端的IP生成木马文件txma,10771是控制监控程序,如果有被控制端上线立马可以在控制台发现,将txma上传到linux服务器,设置可执行权限并运行此木马,结果如下: 被控制端:将txma上传到...
Azure上Linux VMDDOS攻击:使用Apache mod_evasive
weixin_30834019的博客
11-25 83
部署在云端的虚拟机和web服务,很容易受到DoS护着DDoS的服务攻击,让一些新上线的业务苦不堪言,当然各个云服务提供商也有不同层面DDOS护,然而由于护粒度,攻击复杂度的关系,未必可以满足你的需求,本文介绍如何对使用了Apache httpd的用户做一些简单的配置,从而有效护一些简单的DDOS攻击。 mod_evasive模块是httpd对web服务器的一个DoS和DDoS...
网站攻击类型跨站攻击的解决方案
莫莫的家
08-07 1984
漏洞描述:        跨站脚本攻击(Cross-site scripting,通常简称为XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。 恶意攻击者将对客户端有危害的代码放到服务器上作为一个网页内容, 使得其他网站用户在观看此网页时,这些代码注入到了用户的浏览器中执行,使用户受到攻击。一般而言,利用跨站脚本攻击攻击者可窃会话COOKIE从而
apacheddos攻击的几个有用工具
jcwKyl的专栏
06-20 5351
<br />一:<br /> 来 自http://www.inetbase.com/scripts/的ddos脚本。这套脚本的开发初衷就是为了ddos攻击,它周期性运行(比如 每隔一秒),每次运行时使用netstat命令记录下当前的网络连接情况,从记录的数据中筛选出客户机的IP并统计出每个客户IP的连接数,将连接数与设 定的阈值相比,如果一个IP有过多的连接,它将被放入黑名单。放入黑名单的IP在一段时间内(比如10分钟以内)向服务器发送的请求将被iptables 丢弃。<br /> 这个脚本
XSS跨站脚本攻击以及解决办法
wangpeng322的博客
08-21 7894
来源:https://www.cnblogs.com/insaneXs/p/7465014.html XSS,全称为Cross Site Script,跨站脚本攻击,是WEB程序中一种常见的漏洞。其主要的攻击手段是在在利用网站上的可由用户输入信息的地方,恶意注入含有攻击性的脚本,达到攻击网站或者窃取用户cookied等隐私信息的目的。 XSS漏洞主要分为两种类型,一种是Stored XSS, ...
Linux环境下,apache设置禁止恶意域名绑定和直接ip访问方法
清风徐来,水波不兴
08-30 7157
为了恶意域名绑定到自己的服务器ip上以及直接通过ip访问方式访问。我们可以通过apache配置可以实现这一目的,具体操作步骤如下。 第一步,httpd.conf配置设置 启用虚拟主机、ssl、重写模块 LoadModule vhost_alias_module modules/mod_vhost_alias.so LoadModule rewrite_module modules
Linuxapache安全配置策略
u014389734的博客
09-04 721
Apache具有灵活的设置,所有Apache的安全特性都要经过周密的设计与规划,进行认真地配置才能够实现。Apache安全配置包括很多层面,有运行环境、认证与授权设置等。 1.Apache具有灵活的设置 所有Apache的安全特性都要经过周密的设计与规划,进行认真地配置才能够实现。Apache安全配置包括很多层面,有运行环境、认证与授权设置等。Apache的安装配置和运行示例如下: 1 修...
Apache 配置黑名单,亲测可用
u014265398的博客
10-01 1517
1.黑名单,禁止某些ip访问httpd.conf配置文件中,添加如下配置 <Directory /usr/local/apache2/htdocs/> #允许.htaccess覆盖配置文件,使.htaccess生效 AllowOverride All </Directory> 2.在apache服务器根目录创建.htaccess文件 cd /usr/local/apache2/htdocs/ vim .htaccess 在文件中添加如下内容
apache 恶意请求
chn1100的博客
12-09 123
小弟最近弄个国外的vps,目前是apache2+tomcat6+mysql+java环境,现在总是有些莫名奇妙不怀好意的ip访问我的网站,企图窃取我的系统密码,请问如何在apache 服务器上面禁止这些非法的ip地址了,谢谢,下面是个ip非法的恶意请求(apache 日志),我不想成为肉鸡机器...
linux下配置apache实现https访问
最新发布
11-26
Linux下配置Apache实现HTTPS访问需要遵循以下步骤: 1. 确保已经安装了Apache服务器和OpenSSL模块。可以使用命令行检查它们的安装情况。 2. 生成SSL证书和密钥。可以使用OpenSSL命令行工具生成自签名的证书和...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值