记录一次遭遇黑客扫描服务器经过

背景

服务器告警,cpu每隔一段时间就出现瞬间飙升100%,监听队列随之溢出。

看监控,基本都是tcp连接过多的问题,针型的qps,一直以为是网站文章数太多从而蜘蛛爬虫访问瞬间飙升,期间处理过队列,最大连接数的设置,看上一篇文章论一个http请求达到目标服务的千辛万苦-CSDN博客,在调整完队列问题后,确实没有报监听队列溢出的问题,但是cpu还会时不时飚满。

一个大大佬提醒,查看下nginx日志 ,统计下这个时间打到fpm的请求数量和响应时间。

果然,闭门造车效率是最低了,还得集思广益,找对思路才能快速解决问题。

查看告警时间段的nginx日志,发现了大量的404,未找到的报错,请求的还是静态资源文件,而且这些静态资源文件都不是我们应该有的。

以上图片的日志结果很明显:被黑了!!

顺带gpt了一下,黑客这个行为的目的是什么?
信息收集 :例如服务器配置文件,可能包含数据库连接字符串、用户名和密码、服务器内部网络架构等关键信息。如果黑客获取到这些配置文件,就可以进一步尝试入侵数据库或其他内部系统。像 Web 应用程序的 config.js 或.properties 文件中,可能存有 API 密钥(如用于连接第三方服务的 Google Maps API 密钥、支付网关 API 密钥等)、加密密钥等。这些密钥一旦泄露,黑客可以滥用这些服务,甚至进行金融欺诈。
**寻找可利用的文件:**服务器上的库文件如果存在漏洞,黑客可以利用这些漏洞来提升权限或执行恶意操作。例如,某些旧版本的 JavaScript 库可能存在已知的安全漏洞,黑客可以利用这些漏洞来劫持用户会话或篡改网页内容。

处理

1.在cloudflare配置对应域名的WAF,整理nginx日志可能的肉机ip,添加到访问规则中

2.在防火墙或者iptables中配置ip黑名单

相关推荐
风吹落叶花飘荡17 分钟前
Ubuntu系统 系统盘和数据盘扩容具体操作
linux·运维·ubuntu
誰能久伴不乏40 分钟前
Linux如何执行系统调用及高效执行系统调用:深入浅出的解析
java·服务器·前端
Z7676_1 小时前
OSPF开放式最短路径优先
运维·网络
RPA+AI十二工作室1 小时前
影刀RPA_抖音评价获取_源码解读
运维·机器人·自动化·源码·rpa·影刀
誰能久伴不乏3 小时前
Linux 系统调用详解:操作文件的常用系统调用
服务器·网络·servlet
呉師傅5 小时前
佳能iR-ADV C5560复印机如何扫描文件到电脑
运维·网络·windows·计算机外设·电脑
半梦半醒*5 小时前
Linux网络管理
linux·运维·网络·centos·运维开发
破刺不会编程5 小时前
linux线程概念和控制
linux·运维·服务器·开发语言·c++
华强笔记5 小时前
C程序内存布局详解
服务器·c语言
wxjlkh5 小时前
powershell 批量测试ip 端口 脚本
java·服务器·前端