我丢弃了端口上的所有流量,除了我的 Web 服务器的 80 端口。
我在 iptables 上有一些这样的规则:
iptables -A INPUT -p tcp -m tcp --dport 80 -m string --string "cgi" --algo bm --to 1000 -j DROP
谁有更多可以分享一下?我总是知道坏黑客仍在更新,但其中一些总是以相同的代码开头。我需要根据某些标准断开连接。这是一些 Apache 日志(我删除了 ips,但每个攻击都来自相同):
攻击 1:这个我不知道要做什么,但是从同一个 ip 做 50 次
GET / HTTP/1.1 301 224 - Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.152 Safari/537.22
GET / HTTP/1.1 302 3387 - Mozilla/5.0 (X11; Linux i686) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.152 Safari/537.22
攻击 2:这尝试仅获取有关服务器的信息。
GET / HTTP/1.1 301 224 http://myip:80/ Go-http-client/1.1
GET / …