记一次个人博客被刷恶意评论的分析与解决

最新推荐文章于 2025-04-26 23:32:54 发布
最新推荐文章于 2025-04-26 23:32:54 发布
阅读量1.9k 收藏 1
点赞数 2
分类专栏: halo Nginx
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43909881/article/details/109632593
版权

前言

近期我的halo博客https://yingserver.cn出现了恶意刷评论的情况,打开halo后台,最过分的时候刷了近两百页的评论,连带着每一个评论发送的一千多封邮件…
在这里插入图片描述
几页评论还好,几百页要删评论还是很痛苦的…所以只能进数据库删除了
首先暂时关闭了评论接口,但是总不能一直关闭评论啊,更不能让恶意评论那么猖狂时不时给我来一下,而且还得去数据库删,太费劲了,那就想想办法

分析

数据库的评论表记录了评论人的相关信息,比如名字,邮箱地址,网址, ip等信息,但是并没有什么用,像名字,邮箱地址,网址,既然是刷恶意评论,那么肯定填的是垃圾信息,邮箱给我填了halo官方邮箱,评论内容全都填写了halo再github上的某issues(和halo有多大仇啊这…),然后看看ip吧,数据库group by看看,嗯果然没啥用,全都是代理ip,并看不出攻击者的任何信息,其他字段就更别说了,没用
下面是数据库查到的恶意评论ip,记录下

77.247.181.162
23.129.64.211
31.220.0.202
185.121.69.16
51.83.129.84
31.220.40.239
176.10.99.200
31.220.40.237
51.178.48.248
51.38.64.136
107.189.10.119
185.170.114.25
199.249.230.147
130.225.244.90
94.230.208.147
85.248.227.163
212.83.166.62
145.239.82.147
92.222.221.49
104.244.76.13
23.129.64.191
199.195.250.77
178.20.55.16
51.210.243.173
51.210.242.130
54.39.16.73
89.234.157.254
198.251.89.99
31.220.2.107
5.199.130.188
81.17.16.146
185.220.103.5
109.70.100.34
109.70.100.32
185.100.86.154
178.17.171.115
185.121.69.42
92.246.84.133
185.220.101.130
185.220.101.134
195.154.179.3
109.70.100.40
185.220.101.136
54.36.108.162
109.70.100.43
199.249.230.177
104.244.73.43
185.100.87.243
109.70.100.42
145.239.95.15
31.7.61.188
145.239.92.26
18.27.197.252
185.220.101.140
185.220.101.143
91.192.103.25
185.220.101.20
185.220.101.21
199.249.230.184
109.70.100.52
209.141.53.10
51.15.1.221
51.210.242.160
185.220.102.8
51.15.59.15
185.220.102.7
104.244.74.28
178.17.171.135
95.211.230.211
31.220.2.132
51.178.50.24
45.154.255.66
192.42.116.16
192.42.116.17
91.203.145.116
89.31.57.5
192.42.116.19
31.220.1.170
198.98.50.112
185.12.45.116
212.40.95.232
46.19.141.86
185.100.86.182
204.85.191.8
185.107.47.215
51.77.58.144
51.210.242.176
45.154.255.73
94.102.51.78
192.42.116.20
89.144.12.17
192.42.116.28
46.165.245.154
171.25.193.25
146.59.158.228
213.61.215.54
185.220.100.240
185.220.100.241
54.38.81.231
185.220.102.241
185.220.100.245
185.220.101.4
185.220.101.5
185.220.101.204
185.220.101.7
185.220.102.248
185.220.102.247
185.220.101.202
185.220.101.8
185.220.101.205
185.220.102.250
185.220.100.252
185.220.102.251
185.220.100.255
185.220.102.254
185.220.102.253
162.247.74.200
217.182.192.217
185.220.101.216
179.43.160.236
185.220.101.218

后来发现了一个比较特别的字段,user agent,一般是浏览器请求的时候带过来的,但是攻击者的UA很奇怪
在这里插入图片描述
嗯?bilibili security browser???什么鬼???b站啥时候有浏览器了?百度下,只是查到的是bilibili安全挑战赛的内容=。=
一般正常的UA都是Mozilla开头的UA,比如Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/86.0.4240.111 Safari/537.36
虽然不清楚攻击者为啥要填这个,但起码也是区分攻击者的一个方式,暂且这么干吧

尝试解决

method1

既然能够通过UA区分攻击者身份,那么我就可以根据UA判断攻击者并拒绝访问就可以了,因为我用了Nginx,那么是不是可以在nginx中进行判断呢?
查了下,找到一篇文章,依样画葫芦,在server层加上
在这里插入图片描述
匹配UA为bilibili security browser的用户,直接给他403拒绝掉
暂且这么办,毕竟硬编码不太好,万一攻击者发现了改了UA就不行了,后面再看看有没用更好方式

method2

同时,在CDN中我也加入了访问评论接口访问频率的限制,超过一定阈值,也就是一个时间段内评论次数过多也直接拒绝访问,双管齐下
在这里插入图片描述

method3

halo允许后台设置评论经过审核后才能够显示,那么就开启评论审核,起码不至于恶意评论直接就刷到了前台,影响正常用户的观感

后记

维护自己的小站时不时还是会遭到各种奇奇怪怪的攻击,对于网络安全还是得多加学习才行,这次的恶意刷评论的情况,我也不清楚是否有效,得尝试一段时间看看,时不时来这么一下还是挺影响心情的,最后也希望各位大佬们对小站高抬贵手哈哈

【ChatGPT】实用 Prompt 指令大全 —— 一文教你如何更好地挖掘 GPT 的价值
AI天才研究院
04-15 2万+
ChatGPT 是由 OpenAI 开发的一种先进的大型语言生成模型,能够理解和生成准确、自然且连贯的文本。文本生成数据分析内容审核语义理解自然语言推理以及其他众多任务ChatGPT是一种基于GPT-3.5架构的大型语言模型,由OpenAI公司开发。该模型在自然语言处理领域有着广泛的应用,可以用于文本生成、文本分类、情感分析、问答系统等任务。本文将从模型的架构、训练方式、优缺点等方面对ChatGPT进行详细介绍。一、模型架构。
Django项目--首页静态化
fanxindong0620的博客
10-24 346
0前言 1.使用Celery生成静态页面 task.py中新增任务函数generate_static_index_html(),任务函数生成静态页面。 @app.task def generate_static_index_html(): '''产生首页静态页面''' # 获取商品的种类信息 types = GoodsType.objects.all() # ...
django从零开始完成登录/注册:保姆级教程
qq_45804132的博客
07-27 1万+
完整项目 基于django的登录/注册 本篇文章就django实现的登录注册一步一步实现讲解。 文章目录完整项目基于django的登录/注册一. django是什么?二. 环境配置三. django安装1. pip命令拓展2. 安装完成四. 开始冻手,开始冻手1. 创建一个项目2. 配置文件2.1 html文件路径2.2 数据库配置2.3 配置静态文件路径五. 创建一个app六. 后台架构测试1. 编写后台测试2. 编写system路由分发:3. 编写主路由七. 前端7.1 在templates路径下创建
django 中静态文件配置 static
Katios
07-01 4万+
环境 centos7 django 1.11 nginx 白话我们可以使用Template 设置我们的网页,同时,一个完美的网页需要css,js,image 等静态文件的支持。django中配置方式貌似有不少总,因为很多相关的博客写的方式并不一致,当然这可能是django 的版本不同导致的。当我们在一个项目下创建一个app后,我们就需要为该app下创建一个static 文件夹来存放相关静态资源。但
探索Halo:不止是博客,更是创作新宇宙
君主,永远在高峰等你
03-25 748
本文围绕博客系统Halo展开,开篇讲述博主寻觅博客系统时遭遇的难题,自然引出Halo。接着,介绍Halo界面简洁易用,对新手博主友好。随后,从内容创作、主题定制、插件拓展、多用户管理等方面,阐述其丰富强大的功能,还介绍了稳定高效的技术优势以及活跃的社区生态,助力读者深入了解Halo
[Django学习]Ajax访问静态页面
weixin_34159110的博客
11-27 99
Web开发中常用的一种开发方式是:通过Ajax进行系统的交互,采用Ajax进行交互的时候,更多的时候传输的是JSON格式的数据。 所以开发中我们需要将数据格式转化成JSON,请参见:https://www.cnblogs.com/coser/archive/2011/12/14/2287739.html 但是由于Django已经帮我们封装了一些东西,所以我们可以写成格式: ''' Aj...
Python - Django - 登录页面
andiao1218的博客
04-02 622
登录页 login.html: <!DOCTYPE html> <html lang="zh-CN"> <head> <meta charset="UTF-8"> <meta http-equiv="x-ua-compatible" content="IE=edge"> <meta ...
Django关于访问静态文件总结
Wait的专栏
10-06 1万+
1、Django settings中关于静态文件的配置 转自:http://blog.chinaunix.net/uid-21633169-id-4352454.html
相关业务问题+系统问题+设计问题整理统计
热门推荐
张彦峰的博客
04-07 171万+
业务系统及其他相关面试问题整理:线上相关问题排查+高并发系统的限流+高并发秒杀系统设计+负载均衡+一个网站有 20 亿 url 存在一个黑名单中,这个黑名单要怎么存?若此时随便输入一个 url,你如何快速判断该 url 是否在这个黑名单中?并且需在给定内存空间(比如:500M)内快速判断出?
【至强L5420微码写:系统稳定性兼容性】:专家级解决方案技巧
[【至强L5420微码写:系统稳定性兼容性】:专家级解决方案技巧](https://www.softzone.es/app/uploads-softzone.es/2021/11/Actualizar-controlador-WiFi.jpg) # 摘要 本文全面探讨了至强L5420微处理器的微码...
录学习数据分析入门(1)——泰坦尼克Titanic(超详细!)
沂异的博客
06-23 2815
背景介绍 Titanic数据集是非常适合数据科学和机器学习新手入门练习的数据集。 数据集为1912年泰坦尼克号沉船事件中一些船员的个人信息以及存活状况。这些历史数据已经非分为训练集和测试集,可以根据训练集训练出合适的模型并预测测试集中的存活状况。 ...
程序员必看:LeetCode题技巧职业规划
最新发布
AI天才研究院
04-26 641
LeetCode作为全球知名的算法练习平台,已经成为程序员提升编程能力、准备技术面试的重要工具。本文的目的在于为广大程序员提供全面、实用的LeetCode题技巧,同时结合不同职业阶段,探讨如何通过题进行有效的职业规划。范围涵盖LeetCode平台的特点、题的基本方法、算法和数据结构的应用,以及职业发展的各个阶段题的关联。本文将按照以下结构展开:首先介绍LeetCode的核心概念和其职业发展的联系;接着详细讲解LeetCode题的核心算法原理和具体操作步骤,并通过数学模型和公式进行深入分析
python django+bootstrap实现用户管理系统
06-28
python+django+bootstrap实现的管理系统,注释全,功能强大,又文档说明,导入即可查看源码,初学者必备
Django访问静态资源
lzq603的博客
08-11 2268
在html页面中访问静态资源 1.settings.py配置 DEBUG = False STATIC_ROOT = 'static' 2.url.py配置 from django.urls import path, include, re_path from django.views import static from django...
Django实现页面注册登录界面
泓源的博客
03-27 7664
增加数据 在acsign/models.py中增加用户数据: class Users(models.Model): u_name = models.CharField(max_length=10) u_password = models.CharField(max_length=255) u_ticket = models.CharField(max_length=30, ...
Django框架之动静态网页
weixin_46407419的博客
02-28 402
Django框架之动静态网页: 静态文件: 前端已经写好了的,能够直接调用使用的文件 # 比如: 网站写好的js文件 网站写好的css文件 网站用到的图片文件 第三方前端框架 # django默认是不会自动帮你创建static文件夹,需要自己手动创建 # 这样做的目的:为了解耦合,更加的方便管理 故我们...
Django实战----页面静态化
A
06-04 452
关于页面静态化 前言: 因为代码在windows上运行,Linux上的定时任务无法使用,正常来说要把页面静态化的脚本做成定时任务,每过一段时间自动渲染一次,因为MySQL内的数据是会变化的 为什么要做页面静态化 减少数据库查询次数。 提升页面响应效率。 具体的做法 将动态渲染生成的页面结果保存成html文件,放到静态文件服务器中。 用户直接去静态服务器,访问处理好的静态html文件。 哪些数据不能静态化处理 用户相关数据不能静态化: 1.1 用户名、购物车等不能静态化。 动态变化的数据不能静态化
django-bootstrap第一个登录页面
Y.Light的专栏
07-16 5369
一、请求页面render_to_response(‘login.html’) 对于请求一个页面时,在相对应的views同文件目录下创建一个templates文件,在里面放入login.html.如图: 在settings.py TEMPLATE_DIRS里面添加对应的路径: 参考二、django-bootstrap搭建1.安装django-bootstrap-staticpip install
Django框架使用Bootstrap美化登陆注册页面
weixin_39098318的博客
04-02 4806
背景 昨天写的登陆注册页面只把功能实现完,还没有对页面进行美化,那么今天我们就完成昨天的任务! 一、思路 使用现在比较流行的前端框架Bootstrap,外加自己写的一点点css来进行美化! 一般都是下载框架,导入,引用,美化。 二、实现 1.下载Bootstrap4 https://v4.bootcss.com/docs/getting-started/download/ 由于Bootstrap4...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值