设为首页收藏本站

LinuxTone | 运维专家网论坛 - 最棒的Linux运维与开源架构技术交流社区!

 找回密码
 注册

QQ登录

只需一步,快速开始

#公告#抱歉,网站将关闭,不再开放。由于PC时代已远逝 。在这个后移动互联网时代,我们继续携手前行,保持对技术的热情。共同构建linuxtone知识星球欢迎加入,一起讨论技术、招聘人才、分享资源。请新老linuxtone人 扫码移步到 知识星球:linuxtone

学习是一种信仰!分享是一种快乐!能力= 心态 * 沟通 * 知识 (你的每一天需要正能量!)

 网站的发展需要你贡献一份力量!希望你能每天坚持看贴1小时,并回答网友的问题!祝你在浏览论坛的过程中取得进步!谢谢!linuxtone加油!大家加油! 友情提示: 你今天学习了吗?你今天进步了吗?少一点抱怨!多一点进步!Life is short ! Why not linuxtone ?  

网站的发展、感谢每位坛友的努力!

查看: 2857|回复: 7

nginx日志文件 [复制链接]

Rank: 8Rank: 8

签到
152
注册时间
2009-6-24
最后登录
2015-1-26
在线时间
178 小时
阅读权限
90
积分
10070
帖子
118
主题
33
精华
0
UID
3806
发表于 2011-9-1 14:02:41 |显示全部楼层
123.11.241.204 - - [01/Sep/2011:13:52:08 +0800] "GET /uploads/music/2011/06/05/10/53/4deaefb0b8648.mp3 HTTP/1.1" 400 166 "-" "NSPlayer/9.0.0.3265 WMFSDK/9.0" -
123.11.241.204 - - [01/Sep/2011:13:52:08 +0800] "GET /uploads/music/2011/06/05/10/53/4deaefb0b8648.mp3 HTTP/1.1" 400 166 "-" "NSPlayer/9.0.0.3265 WMFSDK/9.0" -
123.11.241.204 - - [01/Sep/2011:13:52:08 +0800] "GET /uploads/music/2011/06/05/10/53/4deaefb0b8648.mp3 HTTP/1.1" 400 166 "-" "NSPlayer/9.0.0.3265 WMFSDK/9.0" -
123.11.241.204 - - [01/Sep/2011:13:52:08 +0800] "GET /uploads/music/2011/06/05/10/53/4deaefb0b8648.mp3 HTTP/1.1" 400 166 "-" "NSPlayer/9.0.0.3265 WMFSDK/9.0" -
123.11.241.204 - - [01/Sep/2011:13:52:09 +0800] "GET /uploads/music/2011/06/05/10/53/4deaefb0b8648.mp3 HTTP/1.1" 400 166 "-" "NSPlayer/9.0.0.3265 WMFSDK/9.0" -
123.11.241.204 - - [01/Sep/2011:13:52:09 +0800] "GET /uploads/music/2011/06/05/10/53/4deaefb0b8648.mp3 HTTP/1.1" 400 166 "-" "NSPlayer/9.0.0.3265 WMFSDK/9.0" -

MP3文件在服务上都删除了,nginx后台日志 很频繁的显示这样的日志,应该是cc攻击之类的,现在把访问music这个目录,都ruturn 400错误,这样没什么效果,还是有大量访问这些mp3文件,怎么处理呢。

我现在是 写了个脚本,分析日志,把访问 /uploads/music目录并且返回 400的错误的ip 记录下,并在防火墙做策略drop掉这个IP,
但是, CC主要是用来攻击页面的,模拟多个用户(多少线程就是多少用户)不停的进行访问,并且nginx日志中现在的这些CC攻击模拟的 IP都是真实IP地址,如果这些IP地址,被iptables drop的话,会造成真实想访问的用户可能无法。

大家都这类攻击有什么好的处理办法啊?

Rank: 8Rank: 8

注册时间
2009-6-24
最后登录
2015-1-26
在线时间
178 小时
阅读权限
90
积分
10070
帖子
118
主题
33
精华
0
UID
3806
发表于 2011-9-1 14:04:52 |显示全部楼层
昨天一天收集了这样的IP地址上千个,尝试封了,但悲剧的是导致某些地方用户无法访问。

使用道具 举报

Rank: 8Rank: 8

注册时间
2009-6-24
最后登录
2015-1-26
在线时间
178 小时
阅读权限
90
积分
10070
帖子
118
主题
33
精华
0
UID
3806
发表于 2011-9-1 14:07:52 |显示全部楼层
116.113.63.51 - - [01/Sep/2011:14:05:53 +0800] "GET /Uploads/music/2009/09/fb3848f07ada2425f2910beaaf3fc779.mp3 HTTP/1.1" 400 526 "http://www.xx.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727; 4399Box.720)" -
116.113.63.51 - - [01/Sep/2011:14:05:53 +0800] "GET /Uploads/music/2009/09/fb3848f07ada2425f2910beaaf3fc779.mp3 HTTP/1.1" 400 526 "http://www.xx.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727; 4399Box.720)" -
116.113.63.51 - - [01/Sep/2011:14:05:53 +0800] "GET /Uploads/music/2009/09/fb3848f07ada2425f2910beaaf3fc779.mp3 HTTP/1.1" 400 526 "http://www.xx.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727; 4399Box.720)" -
116.113.63.51 - - [01/Sep/2011:14:05:53 +0800] "GET /Uploads/music/2009/09/fb3848f07ada2425f2910beaaf3fc779.mp3 HTTP/1.1" 400 526 "http://www.xx.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727; 4399Box.720)" -
221.15.99.233 - - [01/Sep/2011:14:05:53 +0800] "GET /Uploads/music/2009/08/1e29b139431ce5144e446407e816a492.mp3 HTTP/1.1" 400 526 "http://www.xx.com/" "Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; .NET CLR 3.5.20706)" -
116.113.63.51 - - [01/Sep/2011:14:05:53 +0800] "GET /Uploads/music/2009/09/fb3848f07ada2425f2910beaaf3fc779.mp3 HTTP/1.1" 400 526 "http://www.xx.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727; 4399Box.720)" -
116.113.63.51 - - [01/Sep/2011:14:05:53 +0800] "GET /Uploads/music/2009/09/fb3848f07ada2425f2910beaaf3fc779.mp3 HTTP/1.1" 400 526 "http://www.xx.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727; 4399Box.720)" -
116.113.63.51 - - [01/Sep/2011:14:05:53 +0800] "GET /Uploads/music/2009/09/fb3848f07ada2425f2910beaaf3fc779.mp3 HTTP/1.1" 400 526 "http://www.xx.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727; 4399Box.720)" -
116.113.63.51 - - [01/Sep/2011:14:05:53 +0800] "GET /Uploads/music/2009/09/fb3848f07ada2425f2910beaaf3fc779.mp3 HTTP/1.1" 400 526 "http://www.xx.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727; 4399Box.720)" -
116.113.63.51 - - [01/Sep/2011:14:05:53 +0800] "GET /Uploads/music/2009/09/fb3848f07ada2425f2910beaaf3fc779.mp3 HTTP/1.1" 400 526 "http://www.xx.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727; 4399Box.720)" -
116.113.63.51 - - [01/Sep/2011:14:05:53 +0800] "GET /Uploads/music/2009/09/fb3848f07ada2425f2910beaaf3fc779.mp3 HTTP/1.1" 400 526 "http://www.xx.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727; 4399Box.720)" -
116.113.63.51 - - [01/Sep/2011:14:05:54 +0800] "GET /Uploads/music/2009/09/fb3848f07ada2425f2910beaaf3fc779.mp3 HTTP/1.1" 400 526 "http://www.xx.com/" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; .NET CLR 2.0.50727; 4399Box.720)" -

使用道具 举报

LT资深版主

犯强汉者,虽远必诛!

Rank: 8Rank: 8

注册时间
2009-2-1
最后登录
2016-2-19
在线时间
548 小时
阅读权限
150
积分
7434
帖子
824
主题
88
精华
3
UID
1215

LT同学

发表于 2011-9-1 14:45:05 |显示全部楼层
return 444
<-sina_sign,1836665025,1->

使用道具 举报

Rank: 8Rank: 8

注册时间
2009-6-24
最后登录
2015-1-26
在线时间
178 小时
阅读权限
90
积分
10070
帖子
118
主题
33
精华
0
UID
3806
发表于 2011-9-1 15:39:38 |显示全部楼层
回复 coralzd 的帖子

return 444 会造成服务器大量timeout请求。

使用道具 举报

Rank: 8Rank: 8

注册时间
2009-6-24
最后登录
2015-1-26
在线时间
178 小时
阅读权限
90
积分
10070
帖子
118
主题
33
精华
0
UID
3806
发表于 2011-9-1 15:41:35 |显示全部楼层
回复 coralzd 的帖子

server
{
    listen 80 default;
    server_name _;
    return 444;
}

是这段代码吗?

使用道具 举报

Rank: 4

注册时间
2011-1-10
最后登录
2012-4-18
在线时间
33 小时
阅读权限
50
积分
935
帖子
26
主题
0
精华
0
UID
11725
发表于 2011-9-1 16:49:44 |显示全部楼层
这个估计是地址被迅雷给记住了,然后你就悲剧了,

使用道具 举报

LT资深版主

犯强汉者,虽远必诛!

Rank: 8Rank: 8

注册时间
2009-2-1
最后登录
2016-2-19
在线时间
548 小时
阅读权限
150
积分
7434
帖子
824
主题
88
精华
3
UID
1215

LT同学

发表于 2011-9-2 08:44:33 |显示全部楼层
试试nginx 的accesskey
<-sina_sign,1836665025,1->

使用道具 举报

您需要登录后才可以回帖 登录 | 注册

IT运维专家网感谢您的支持

合作联系: QQ:67888954/MSN:cnseek@msn.com/mail:netseek@linuxtone.org

Archiver|手机版|感谢所有关心和支持过LinuxTone的朋友们 转载本站内容请注明原作者名及出处 ( 京ICP备08103151 )   |

GMT+8, 2020-5-27 14:24 , Processed in 0.019191 second(s), 10 queries , Apc On.

Powered by Discuz! X2 Licensed

© 2001-2011 Comsenz Inc.

回顶部