通过日志安全分析追踪攻击者-qaq卟言的个人博客

1.png
距离上一次写博客攻防的文章已经是三年前的事情了
那一篇文章本站受到SQL注入攻击，以及原理注入与解决方法写的是SQL的注入语法的解释
目录扫描攻击
这一篇文章来说一下目录或者文件扫描
这是我博客的其中一个攻击ip的请求日志，注意是其中一个😒
1.png
到扫描结束也就是4分钟，扫描了156目录文件，然后没有发现东西就停止了
2.png
当然也可能是被封禁了，毕竟我服务器可是连自己的封的😅
3.jpg
4.jpg
毕竟这个程序是自己写的，就这事我还发朋友圈了，忘记过滤本地地址😏
话说远了，为什么我说只是其中的攻击日志呢
其实看上面的朋友圈图片也知道了，攻击日志基本上还是非常频繁的
当然了这个请求日志都是通过了防火墙的请求，这个文件目前还是很大的
5.png
请求数据很多，是因为我还没有写日志分割的功能出来
不只是这个博客，我的MC皮肤站也是有攻击的请求日志的
6.png
好家伙，你说我博客都在个人页面上说过了
我是自己一个一个代码写出来，不相信就算了
但是MC皮肤站是别人写出来并且开源的，能不能去看一下源代码目录结构
再通过漏洞进行攻击嘛，毕竟我也不更新这个皮肤站的源码😐😑
看一下上面的博客请求日志一堆的.env跟php
不能说我博客代码文章基本上是php，就认为我真的用php写的博客吧🤒
那我也写了C语言的代码鸭，怎么不远程搞我服务器的主板电源硬盘呐
好歹看一下我博客的文章吧，我个人页面都说了我早使用go进行重构了
看一下我博客的博客开发区结构是什么样的吧
7.png
8.png
你看前端都是html文件，这里就不展开了，不然截图太长了
没有动态脚本、不与数据库交互，神马注入、上传、抓包改包、xss都死一边去
说白了我服务器本身都不支持写入和执行脚本，好歹攻击一下请求接口咯
可以不通过web方式进行渗透，例如直接搞网站所处的服务器
你还想入侵，折腾啥玩意？说完了请求日志，我还有防火墙日志没有说呢
9.png
防火墙日志呢，就是还没有到网站就被拦截了的
看上面的图片知道了下面的信息，有很多的wp-confing.php的请求
主要是WordPress会容易被黑客攻击，当然不仅是WordPress
互联网上所有具有内容管理系统（CMS）的网站都容易受到黑客攻击
WordPress网站成为通用目标的原因是因为WordPress是世界上最受欢迎的网站CMS
它为全球超过33％的网站提供支持，这种巨大的流行度使黑客可以轻松地找到许多安全性较低的网站
以便他们可以利用它们及其共享漏洞，无论它是什么网站
毕竟开源的框架大家都能看到源码，看得到源码就可能会发现漏洞
还有就是可以看见还有ThinkPHP的攻击，真的是一点都不相信我
是自己一个一个字母敲出来的博客系统🙄
攻击者通过明显的是用了工具扫描，而且过几秒钟就扫描一次，明显对方是个新手
不说看我的博客文章，好歹用个嗅探工具，先查一下有没有检测到使用的框架吧
分析追踪
我的ADSL服务器每天都会记录所有入站的ip数据
10.png
11.png
并且会同步到备份服务器进行存储，从我开始写出来这个功能一直到现在
12.png
从以前的几十KB到现在几MB一天的请求数据都存在，到现在已经一千多个文件了
13.png
追踪到第一次请求也是轻轻松松的😏
地址泄露
那如果受到了网络直接攻击呢，被发现了ip我是如何处理的？
在文章谈谈本人的多服架构中
介绍过我是怎么通过ADSL更换ip的，这里就不在过多的说明了
14.png
15.png
我这种本来就是搞运维工作的，几个服务器应该是很正常的吧
服务器都这么多了。集群就应该搞了吧
用一个服务器控制其他服务器很正常了吧
那集群都搞了，ADSL代理来做跳板很正常了吧
ADSL代理都搞了，来做个地址池很正常了吧
监控服务器也要弄一个来观察服务器状态吧
备份服务器来备份全部数据也要吧
然后就一愣一愣的越来越多的功能出来了😏
DDOS攻击
那如果DDOS攻击呢，其实这也是经常的事
16.png
ADSL检测到单个ip请求次数超过了阈值会自动封禁，并且通知我
过一段时间自己解封，可以看我什么的第四张截图就知道了
它解封了127.0.0.1没给我笑死🥴，之前写的代码太不严谨了
如果大量的ip进行请求，会不会把带宽打满呢？
这是会的，不过我目前遇见过最大的DDOS峰值达到了9.76G
请求次数达到了6700万次，总流量达到了1500多G
使用ip近7000个，基本上都拦截下来了
这都不知道是我博客几个月的流量了
你以为我真的扛不住，毕竟我这集群的带宽还是蛮大的
打死一个到还是无所谓，我在谈谈本人的多服架构
说过了这个架构的问题，我的监控服务器会检测所有服务器的状态
这里稍微啰嗦一下，如果当前主控制服务器没有响应
就会重新指派一个服务器做为主控制服务器
除非我全部的都被打下线，当然攻击的成本也会上涨
如果流量真的把cdn打死了，我会自己手动通过主控制服务器
让我的全部web服务下线，不然就因为web服务导致服务器无法访问可不行
并且还可能让我损失钱，阿里云在欠费的状态下
是不让下载日志，所以无法分析攻击情况
但是我还有备份服务器可以观察情况
国内cdn好用是好用，但是一旦被盯上，真的一夜回到解放前！
结语
通过第四张图片，其实已经知道了我博客受到攻击，其实是很正常的事情
鉴于要正常上班，虽然觉得有趣，但是也没啥时间好好收拾
随手翻了下日志，发现也就是利用工具扫描网站目录罢了
查询开源框架的漏洞脚本路径，来发出批量搜索请求
然后时不时用弄几个会查询数据库的语句，从而给数据库施压
达到给整个服务器施压的目的，但我这个集群还是比较放心的
毕竟基本上的防护我都自己写了好几套程序来进行相互监控
工作比较忙，后面如果有空，并且攻击的同学锲而不舍的一直保持攻击的话
或者说攻击更加频繁了，不像现在一样时不时攻击扫描
可能要考虑一个优雅的姿势过滤掉攻击，并让服务器的环境正常运行
作为后续调整，我会修改一下自动过滤逻辑
可以自动将攻击请求重定向到127.0.0.1
总结
我认为攻击者应该已经掀不起什么大风大浪了
从第一次受到攻击来说，心里面也是五味杂陈，不知道是开心还是难过
开心的是访客都没有居然有人注意到我了，我可以开始通过网络来攻防对战别人了
难过的却是没有访客，居然有了攻击，鉴于攻击的同学玩儿不出什么新花样了
虽然攻击时不时两三天来一次的持续着，但是，事情已经从有趣变成了无聊
很多时候看见企业微信或者QQ信息发送攻击的提示过来，我也是当成无事发生
毕竟都发送通知了，说明都已经发现他的攻击手段了
也就时不时有空看一下服务器的日志，到现在我的博客已经存活差不多4年了
接下来日子里面，我会一直关心着你
在跌跌撞撞中，我学会了成长。在坎坎坷坷中，我学会了坚强

【通过日志安全分析追踪攻击者】

随机文章