记录一次遭遇黑客扫描服务器经过

背景

服务器告警,cpu每隔一段时间就出现瞬间飙升100%,监听队列随之溢出。

看监控,基本都是tcp连接过多的问题,针型的qps,一直以为是网站文章数太多从而蜘蛛爬虫访问瞬间飙升,期间处理过队列,最大连接数的设置,看上一篇文章论一个http请求达到目标服务的千辛万苦-CSDN博客,在调整完队列问题后,确实没有报监听队列溢出的问题,但是cpu还会时不时飚满。

一个大大佬提醒,查看下nginx日志 ,统计下这个时间打到fpm的请求数量和响应时间。

果然,闭门造车效率是最低了,还得集思广益,找对思路才能快速解决问题。

查看告警时间段的nginx日志,发现了大量的404,未找到的报错,请求的还是静态资源文件,而且这些静态资源文件都不是我们应该有的。

以上图片的日志结果很明显:被黑了!!

顺带gpt了一下,黑客这个行为的目的是什么?
信息收集 :例如服务器配置文件,可能包含数据库连接字符串、用户名和密码、服务器内部网络架构等关键信息。如果黑客获取到这些配置文件,就可以进一步尝试入侵数据库或其他内部系统。像 Web 应用程序的 config.js 或.properties 文件中,可能存有 API 密钥(如用于连接第三方服务的 Google Maps API 密钥、支付网关 API 密钥等)、加密密钥等。这些密钥一旦泄露,黑客可以滥用这些服务,甚至进行金融欺诈。
**寻找可利用的文件:**服务器上的库文件如果存在漏洞,黑客可以利用这些漏洞来提升权限或执行恶意操作。例如,某些旧版本的 JavaScript 库可能存在已知的安全漏洞,黑客可以利用这些漏洞来劫持用户会话或篡改网页内容。

处理

1.在cloudflare配置对应域名的WAF,整理nginx日志可能的肉机ip,添加到访问规则中

2.在防火墙或者iptables中配置ip黑名单

相关推荐
(:满天星:)4 小时前
第31篇:块设备与字符设备管理深度解析(基于OpenEuler 24.03)
linux·运维·服务器·网络·centos
小陶来咯4 小时前
【仿muduo库实现并发服务器】Acceptor模块
运维·服务器
爱莉希雅&&&4 小时前
shell编程之awk命令详解
linux·服务器·git
笑稀了的野生俊4 小时前
在服务器中下载 HuggingFace 模型:终极指南
linux·服务器·python·bash·gpu算力
cui_hao_nan4 小时前
Docker后端部署
运维·docker·容器
ZZH1120KQ5 小时前
Linux系统安全及应用
linux·运维·系统安全
小扎仙森5 小时前
关于服务器宝塔转移wordperss子比主题问题
运维·服务器
小小小糖果人5 小时前
Linux云计算基础篇(5)
linux·运维·服务器
我不是哆啦A梦5 小时前
破解风电运维“百模大战”困局,机械版ChatGPT诞生?
运维·人工智能·python·算法·chatgpt
weixin_7714323116 小时前
linux系统 weblogic10.3.6(jar) 下载及安装
linux·运维·jar