记录一次攻击后的日志分析

有个大佬晚上说他服务器被D了,大佬的服务器是我在负责运维,我记得我做过安全测试,前端cdn已经把后端的ip隐藏了。于是就在找原因。

QQ20190331-135248@2x.png
后来通过沟通知道,原来是新开的一个二级域名,直接指向了源服务器,bj.xxxxxx.xxx
通知大佬添加个cdn,域名做别名解析后,我就开始分析,这时候有人说nginx或者前端做一个代理,禁止ip直接访问,正好服务器是用的nginx。直接nginx.conf就可以禁止ip直接访问网站了。
QQ20190331-135305@2x.png
QQ20190331-135312@2x.png
主配置文件看到了vhost的配置文件
QQ20190331-135319@2x.png
找到配置文件后,!!!!先备份先备份先备份!!!!!!。
在按照正常的配置修改

server{
server_name _;
retrun 400;
}

发现主站也返回了400,无法访问。后来测试了一阵,(幸好是晚上。。。。。。线上服务器)
还是在主配置中修改server块。
QQ20190331-135326@2x.png
这里server_name直接填写的ip地址。
重启了下nginx -s reload,发现没有问题。功能实现了。
接下来是分析日志文件。
将日志文件down下来。最好不要再服务器弄,有时候日质量大对性能影响还是很大的。

开始我就怀疑是cc攻击。脱下来之后日志文件。

[bash]
root@knickers-ubuntu:/home/knickers/桌面# cat xxxxxx.log |awk '{print $1}'|sort|uniq -c|sort -nr|head -10
[/bash]

QQ20190331-135333@2x.png
上一条的命令是显示访问前10位的ip地址。用来查找攻击源。这里看到前三的ip访问量异常。

cat xxxxxx.log |awk '$4>="[02/Jan/2018:"' xxxxxxx.log|awk '{print $1}' |sort|uniq -c|sort -nr|head -10

QQ20190331-135343@2x.png
这条命令是分析2018/1/2日以后的攻击日志排行前十。可以看出,当天攻击的ip就是前三个了。
这里我通过iptables给这三台服务器ban掉。以后任何数据都drop。


iptables -I INPUT -s 61.160.245.190 -j DROP
iptables -I INPUT -s 61.174.50.66 -j DROP
iptables -I INPUT -s 180.97.172.9 -j DROP

至此,此次响应就到这,,,其实也不算响应,只不过是运维在服务器遭受攻击后一种分析路径。(日志分析还是比较重要的,不只是在排错过程中)
顺便再服务器用户目录下新建readme20180102.txt记录本次修改。(要有个好习惯)

QQ20190331-135351@2x.png
顺便追查了下61.160.245.xxx/61.174.50.xxx同属一个主机供应商,应该是服务器被攻击了。

# cat xxxx.log |awk '{print $1}'|sort|uniq -c > 1.txt

QQ20190331-135530@2x.png
可以看到同一B段的还是有些主机被用来做僵尸机了。
QQ20190331-135537@2x.png

本文链接:

http://8sec.cc/index.php/archives/167/
1 + 7 =
快来做第一个评论的人吧~