V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
leonidas
V2EX  ›  问与答

网站疑似被盗链, Linux ,nginx

  •  
  •   leonidas · 2019-07-05 15:33:07 +08:00 · 3100 次点击
    这是一个创建于 1997 天前的主题,其中的信息可能已经有所发展或是发生改变。

    小网站一直没流量
    这几天发现特别卡,进服务器查看了下日志,发现有大量的不知名 IP 重复访问
    然后对 nginx 用 valid_referer 做了防盗链,但效果不明显,重启后依然宽带超 200%的在跑

    想过封 IP,但太多了封不过了,实在想不出其它好办法了,想请教各位有什么好办法

    35 条回复    2019-07-06 18:03:53 +08:00
    1981
        1
    1981  
       2019-07-05 15:40:35 +08:00
    找相同点,比如是一个 ua 就禁 ua
    leonidas
        2
    leonidas  
    OP
       2019-07-05 15:57:07 +08:00
    @1981 ua 是什么 user_agent 吗
    感觉他能绕过 referer 的话 应该也能绕过 user_agent 作用不大吧?
    misaka19000
        3
    misaka19000  
       2019-07-05 16:16:45 +08:00
    添加 IP 自动封禁策略,设置一个阈值
    renmu
        4
    renmu  
       2019-07-05 16:17:58 +08:00 via Android
    顶不住就关会儿站,检测到大量密集的访问就关站,还可以返回假数据给他
    HarryQu
        5
    HarryQu  
       2019-07-05 16:22:56 +08:00
    ua 是 User-Agent
    chinesestudio
        6
    chinesestudio  
       2019-07-05 16:40:23 +08:00 via Android
    上 cdn 或者 vddos 可以看一下 五秒验证 或者谷歌验证
    leonidas
        7
    leonidas  
    OP
       2019-07-05 16:42:36 +08:00
    @misaka19000 可以说具体点么
    leonidas
        8
    leonidas  
    OP
       2019-07-05 16:42:56 +08:00
    @renmu 关过 1 天了 第二天还是一样。。
    mumbler
        9
    mumbler  
       2019-07-05 16:44:03 +08:00 via Android
    盗链什么资源,图片?动态页面?
    leonidas
        11
    leonidas  
    OP
       2019-07-05 16:47:04 +08:00
    @chinesestudio
    上 CDN 的话 这么大的流量 不是要赔死的节奏么...
    五秒验证没搜到内容
    谷歌验证要梯子 但我的是国内的 VPS 啊
    leonidas
        12
    leonidas  
    OP
       2019-07-05 16:48:33 +08:00
    @mumbler
    其实就是一些静态资源 字体文件 CSS JS 什么的
    但我都设置过缓存和防盗链 但都没什么效果 IP 多
    zanyxd
        13
    zanyxd  
       2019-07-05 16:50:48 +08:00 via Android
    我记得 ng 可以限制每秒访问量?(太久没用不太确定)小站没流量可以考虑压低点,但这不是长久之计
    leonidas
        14
    leonidas  
    OP
       2019-07-05 16:51:02 +08:00
    @misaka19000 这是限流的么 我有设置 100K 的限流
    leonidas
        15
    leonidas  
    OP
       2019-07-05 16:52:00 +08:00
    @zanyxd 我有设置 100K 的限流了 但还是没什么效果 IP 太多了
    wqsfree
        16
    wqsfree  
       2019-07-05 16:52:33 +08:00
    我怀疑是被 CC 攻击了吧,你一个小网站有啥好盗链你的。
    leonidas
        17
    leonidas  
    OP
       2019-07-05 17:17:12 +08:00
    看了下上面 @misaka19000 推荐的 ngx_http_limit_req_module 应该挺有用的 去试试下有没效果
    mumbler
        18
    mumbler  
       2019-07-05 17:33:32 +08:00 via Android
    @leonidas 放 CDN 让他们玩去吧,看能跑多少流量
    leonidas
        19
    leonidas  
    OP
       2019-07-05 17:46:02 +08:00
    @mumbler 现在不停的以超两倍的带宽在跑 要是上 CDN 不是给他做嫁衣么 而且小网站也烧不起那钱啊😳
    leonidas
        20
    leonidas  
    OP
       2019-07-05 17:47:39 +08:00
    试了上面的 ngx_http_limit_req_module 限流方法
    对 ip 设置了 10M 的限流内存、10 次 /分钟的频率

    然而 然而。。。还是没什么效果.........
    mumbler
        21
    mumbler  
       2019-07-05 18:10:09 +08:00 via Android
    @leonidas 一个 G 2 毛钱,先来 200 块的
    leonidas
        22
    leonidas  
    OP
       2019-07-05 18:28:00 +08:00
    @mumbler 嗯 暂时可以 但不是长久之计
    abccccabc
        23
    abccccabc  
       2019-07-05 18:34:01 +08:00
    ngx_http_limit_con_module 应该是用来限制连接数的,试下???
    leonidas
        24
    leonidas  
    OP
       2019-07-05 18:43:25 +08:00
    @abccccabc
    ngx_http_limit_req_module ngx_http_limit_con_module
    都加上了 配置了 10m 内存 做了每分钟 20 次的限制 还是不行

    暂时上 cdn 再看看有没其他办法了
    flyz
        25
    flyz  
       2019-07-05 21:28:35 +08:00 via Android
    套个百度云减速,先把免费额度用了再说。
    taolu
        26
    taolu  
       2019-07-05 22:17:59 +08:00 via Android
    写一个脚本,统计上一分钟 IP 数,超过一定数值,就把 IP 加到 ipset ( timeout 自己设定)中,不过可能会误封
    taolu
        27
    taolu  
       2019-07-05 22:19:31 +08:00 via Android
    @taolu 脚本每分钟跑一次,统计日志中上一分钟 IP 数
    jiejiss
        28
    jiejiss  
       2019-07-06 09:07:56 +08:00
    用 Cloudflare 呗。免费的。缓存资源,无限流量。自带 DDoS。
    jiejiss
        29
    jiejiss  
       2019-07-06 09:08:18 +08:00
    *自带防 DDoS
    ladypxy
        30
    ladypxy  
       2019-07-06 10:22:41 +08:00 via iPhone
    首先屏蔽各种云的整个 ip 段,然后在页面加入 js 代码检测域名,域名不对直接跳回。然后 nginx 结合 lua 设置 cookie,cookie 不对直接返回 302 到 127。这样可以干掉 99%的非法访问。
    leonidas
        31
    leonidas  
    OP
       2019-07-06 11:07:21 +08:00
    @taolu
    嗯 这是个办法
    但只能封住一些重复多的 IP 但现在 IP 比较分散 效果估计不会很好
    leonidas
        32
    leonidas  
    OP
       2019-07-06 11:09:11 +08:00
    @ladypxy 嗯 这方法不错 我去试试
    cydian
        33
    cydian  
       2019-07-06 17:36:17 +08:00 via Android
    @ladypxy 各种云的 ip 端怎么查?
    ladypxy
        34
    ladypxy  
       2019-07-06 18:00:10 +08:00 via iPhone
    cydian
        35
    cydian  
       2019-07-06 18:03:53 +08:00 via Android
    @ladypxy 这个怎么查?
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   946 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 28ms · UTC 22:51 · PVG 06:51 · LAX 14:51 · JFK 17:51
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.