首先我來說一下這個被攻擊的網站的大概部署狀況.這個網站主要是nginx+mysql+php,有兩臺服務器分別放了web和數據庫,web只對外開啟了80端口操作系統是centos,而數據庫服務器則在內網,攻擊者的手段其實很簡單,用webbench網站壓力測試工具發送大量的請求到服務器,之前的時候發送每一個請求之后數據庫就會相應,然后讀取內容最終顯示,造成數據庫和web之間大量的交換數據,甚至導致mysql達到連接數上限,請求被拒絕,而且攻擊者時間挺多的,他不停地換浮動ip,因此直接用防火墻封鎖ip沒意義.

剛開始我的做法是,用php取得攻擊者的agent頭,判斷是不是webbench來訪,如果是就die掉,不在請求數據庫,確實挺有效,數據庫不會再超出限制了,但是對方頻繁的發送請求過來,導致網絡帶寬被嚴重消耗,看來得想想其他辦法,最終想到了一個解決方法且實際測試發現可行,因此分享給大家,其實我的做法原理很簡單:用php取得用戶agent頭判斷是否是webbench來源,如果是的話就在服務器上寫一個shell文件,這個文件的內容就是封鎖IP的規則,

然后再用chmod函數修改一下這個文件讓其可執行,再用cron服務讀取這個文件執行,把ip封鎖掉,整個過程全部自動化完成不需要人為干預,另外在封鎖的時候給我發一封email通知我有個倒霉蛋被干掉了,這樣就行了.

具體實現代碼如下:

IF(isSet($_SERVER[HTTP_USER_AGENT]) And Trim($_SERVER[HTTP_USER_AGENT])!=) {

    $_SERVER[HTTP_USER_AGENT]=StrToLower($_SERVER[HTTP_USER_AGENT]);

    IF(StriStr($_SERVER[HTTP_USER_AGENT],webbench)!==False) {

        $p=/home/www/webbench.sh;

        $_SERVER[REMOTE_ADDR]=isSet($_SERVER[REMOTE_ADDR]) ? $_SERVER[REMOTE_ADDR] : unknow;

        <span style="color: #ff0000;">File_Put_Contents($p,"#!/bin/bashniptables -I INPUT -s {$_SERVER[REMOTE_ADDR]} -j DROP;n",LOCK_EX);

</span>     Chmod($p,0755);

        chown($p,www);

        <span style="color: #ff0000;">Function sMail($to,$tit,$msg) {

            IF(Filter_var($to,FILTER_VALIDATE_EMAIL)==){

                throw new Exception(郵箱地址錯誤!);

            }

            $tit==?UTF-8?B?.Base64_Encode($tit).?=;

            $msg = str_replace("n.","n..",$msg);      //Windows如果在一行開頭發現一個句號則會被刪掉,要避免此問題將單個句號替換成兩個句號

            Return Mail($to,$tit,$msg,From:No-reply@adm.bossadm.com.tw."n".Content-Type:text/html;charset=utf-8);

        }

        sMail(see7di@gmail.com,【WebBench又開始了t】!,date(Y-m-d H:i:s,time())." {$_SERVER[REMOTE_ADDR]}");</span>

        Header(Location:http://127.0.0.1);

        Die();

    }

}

后來我又做了一次調整,把發email的部份寫入了shell文件內,不再用php發email,因為那會灌爆你的信箱,把上邊的代碼修改成:

IF(isSet($_SERVER[HTTP_USER_AGENT]) And Trim($_SERVER[HTTP_USER_AGENT])!=) {

    $_SERVER[HTTP_USER_AGENT]=StrToLower($_SERVER[HTTP_USER_AGENT]);

    IF(StriStr($_SERVER[HTTP_USER_AGENT],webbench)!==False) {

        $p=/home/www/webbench.sh;

        $_SERVER[REMOTE_ADDR]=isSet($_SERVER[REMOTE_ADDR]) ? $_SERVER[REMOTE_ADDR] : unknow;

        File_Put_Contents($p,"#!/bin/bashniptables -I INPUT -s {$_SERVER[REMOTE_ADDR]} -j DROP;necho "{$_SERVER[REMOTE_ADDR]} - `date`" | mail -s "WebBench-www.downcc.com" see7di@gmail.comn",LOCK_EX);

        Chmod($p,0755);

        chown($p,www);

        Header(Location:http://127.0.0.1);

        Die();

    }

}