专业的

致力于提供低成本,高质量的构架方案

我们拥有10年云计算行业经验,致力于为国内各类中小型企业提供高质量,低成本,0运维力的一站式系统构架,采购,部署方案。

立即获取省钱方案
免费云服务器汇总
阿里云服务器 60元/年
腾讯云服务器 50元/年
华为云服务器 69元/年
香港云服务器 288元/年

快速判断Web站点是否被CC攻击(Linux主机篇)

2016-03-18 分类:Web安全 / 云服务器 / 通用建站 阅读() 评论(0)

阿里云服务器 ¥102元/年 云数据库37.5元/年 限时

个人、企业均可购买 | 更多配置0.8折特惠

立即查看

简介:

CC攻击非常简单,不需要什么技术即可发起;且成本低廉。从网上下载一个攻击器即可发起。现在的新手站长往往不具备分析日志的水平;在网站访问越来越慢的情况下,无法判断网站是否遭遇攻击。本教程给出3条判断命令;通过这3条命令可以很方便的知道网站是否遭受CC攻击。

命令安装:

一般情况下系统不会默认安装tcpdump命令,需要自行安装。

  • Centos安装方法:

    yum install -y tcpdump
  • debian/ubuntu安装方法:

    apt-get install -y tcpdump

判断方法:

  • 第一条命令:​

    tcpdump -s0 -A -n -i any | grep -o -E '(GET|POST|HEAD) .*'

    • 正常的输出如下:

  • POST /ajax/validator.php HTTP/1.1 
POST /api_redirect.php HTTP/1.1 
GET /team/57085.html HTTP/1.1 
POST /order/pay.php HTTP/1.1 
GET /static/goodsimg/20140324/1_47.jpg HTTP/1.1 
GET /static/theme/qq/css/index.css HTTP/1.1 
GET /static/js/index.js HTTP/1.1 
GET /static/js/customize.js HTTP/1.1 
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 
GET /static/js/jquery.js HTTP/1.1 
GET /ajax/load_team_time.php?team_id=57085 HTTP/1.1 
GET /static/theme/qq/css/index.css HTTP/1.1 
GET /static/js/lazyload/jquery.lazyload.min.js HTTP/1.1 
GET /static/js/MSIE.PNG.js HTTP/1.1 
GET /static/js/index.js HTTP/1.1 
GET /static/js/customize.js HTTP/1.1 
GET /ajax/loginjs.php?type=topbar& HTTP/1.1 
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1 
GET /static/theme/qq/css/i/logos.png HTTP/1.1 
GET /static/theme/qq/css/i/hot.gif HTTP/1.1 
GET /static/theme/qq/css/i/brand.gif HTTP/1.1 
GET /static/theme/qq/css/i/new.gif HTTP/1.1 
GET /static/js/jquery.js HTTP/1.1 
GET /static/theme/qq/css/i/logo.jpg HTTP/1.1

    • 如果网站正常,那么在日志里面看见的都是一些静态文件,如图片,CSS,JS等。如果被攻击,就会出现大量的固定链接,会出现大量含有一定特征的地址。例如Discuz类的站点被攻击,就会出现大量类似于/thread-随机数字-1-1.html的地址。

  • 第二条命令:​

    tcpdump -s0 -A -n -i any | grep  ^User-Agent;

    • 正常的输出如下:

  • User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) 
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 
User-Agent: Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; 360space) 
User-Agent: Mozilla/5.0 (compatible; bingbot/2.0; +https://www.bing.com/bingbot.htm) 
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.1 (KHTML, like Gecko) Chrome/21.0.1180.89 Safari/537.1 
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0) 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0) 
User-Agent: Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; .NET CLR 2.0.50727; InfoPath.2) 
User-Agent: Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

    • 这个命令可以查看客户端的useragent;目前大量的CC攻击采用CC攻击工具实现;他们的客户端的useragent往往都是一致的;在遭受到CC攻击的往往会看到同一个useragent在刷屏。

  • 第三条命令:​

    tcpdump -s0 -A -n -i any | grep ^Host ;

    • 正常的输出如下:

  • Host: www.57aliyun.com 
Host: www.57aliyun.com 
Host: www.57aliyun.com 
Host: upload.57aliyun.com 
Host: upload.57aliyun.com 
Host: upload.57aliyun.com 
Host: upload.57aliyun.com 
Host: upload.57aliyun.com 
Host: upload.57aliyun.com 
Host: upload.57aliyun.com 
Host: upload.57aliyun.com 
Host: upload.57aliyun.com 
Host: www.57aliyun.com 
Host: upload.57aliyun.com 
Host: upload.57aliyun.com 
Host: upload.57aliyun.com 
Host: www.57aliyun.com 
Host: www.57aliyun.com 
Host: upload.57aliyun.com 
Host: upload.57aliyun.com 
Host: upload.57aliyun.com 
Host: www.57aliyun.com 
Host: upload.57aliyun.com 
Host: upload.57aliyun.com 
Host: www.57aliyun.com

    • 当同一服务器上存在大量站点时,使用该命令可以快速判断遭受CC攻击的域名。

呕心之作 完全免费 立即找站长免费获取

  • 视频教程:7天建站从入门到精通
  • 视频教程:3天成为SEO大神,躺赚月入过万
  • 视频教程:月入10万的运维大神是这样练成的
  • 视频教程:30天成为云计算行业专家
  • 视频教程:10年大厂开发教你如何进大厂
  • 视频教程:Wordpress建站教程
  • 视频教程:Linux从入门到精通
  • 视频教程:云计算助你快速从学校跨入社会
  • 视频教程:PHP从入门到精通
  • 视频教程:JAVA开发大师是怎样练成的
免费领取
AD:【吐血推荐】阿里云服务器8元/月
赞(2)
声明:本网站发布的内容(图片、视频和文字)以原创、转载和分享网络内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。邮箱:[email protected],本站原创内容未经允许不得转载,如需转载,请注明:吾趣阿里云网 » 快速判断Web站点是否被CC攻击(Linux主机篇)
分享到

相关推荐

  • 暂无文章

基础型云服务器

适合企业官网、个人站长类网站
¥903.4
¥ 89
元/年
  • 1核2GB配置
  • 40GB高速硬盘
  • 1Mb独享带宽
  • 独立IP地址
立即查看
阿里云

超值型云服务器

适合企业官网、行业门户类网站
¥8281
¥ 899
元/3年
  • 2核4GB配置
  • 40GB高速硬盘
  • 3Mb独享带宽
  • 独立IP地址
立即查看
阿里云

高性能云服务器

适合电商、数据库等企业级应用
¥14765
¥ 1399
元/3年
  • 2核8GB配置
  • 40GB高速硬盘
  • 5Mb独享带宽
  • 独立IP地址
立即查看
阿里云

评论 抢沙发

取消

紫龙

资深阿里云大使,助2000多用户选择阿里云

411738102 
18967549910 (微信同号)
[email protected] 

快讯

  • 10月7日代维工作单——处理某客户阿里云服务器无法访问的故障

          今天刚才另外客户的IDC机房回来就收到了这个客户的电话,说云服务器用的好好的,突然就无法访问了,远程桌面打不开,Ping也不通;而且这台阿里云服务器是VPC的内部机(没有公网IP地址),外部访问需要通过VPN服务器。站长起初考虑是不是欠费了,因为这个客户的云服务器也差不多时间要到期了;但客户坚持如果欠费的话应该所有云服务器都停机的,不可能就一台故障的。

           既然如此,站长于是安排小弟登陆客户的阿里云账户远程管理下云服务器,看看是不是系统崩溃了。半小时后,小弟回复的结果让我哭笑不得。这个故障真是欠费停机了,至于为什么其他云服务器不停呢?因为其他云服务器在别的账户下,他们的购买时间晚了一周。

           最后站长问了下客户有没有收到阿里云的停机通知短信,客户居然回答账号绑定的是运维人员的手机号,而他已经被裁员了。站长已经可以预见不远的未来.............

  • 10月6日代维联系单——某客户嫌阿里云服务器价格贵,要求站长给他想个办法

           某客户电话联系站长,说阿里云服务器续费价格就非常贵,根本用不起,希望站长给他想想办法。站长电话沟通后发现这台云服务器大多数时间是不运行任务的,只有在晚上00:00~1:00之间会跑一些数据任务,处理出来的数据结果也不是非常大,于是一个大胆的方案就在站长脑海中形成了——阿里云按量付费实例停机不收费。

    解决方案:

    1. 将即将到期的现有云服务器转成按量付费实例。
    2. 将固定带宽计费模式的弹性公网IP转成按使用流量计费模式。
    3. 将该云服务器设置为停机不收费模式。
    4. 通过运维编排服务创建自动开机服务。
    5. 在操作系统内创建关机脚本(调用阿里云的官方API),每当任务结束时,自动调用脚本。
    6. 通过运维编排服务创建自动关机服务(避免关机脚本失效,设置在上午10:00执行)。

           经过实践,客户目前的费用相较原来的优惠购买价(不是续费价哦)降低了30%。客户说明年会考虑将更多的云服务器代维工作交给我们,希望大饼早点成真吧。

  • 10月4日代维工作单——为某大客户现场管理IDC机房施工工作

           真是林子大了什么鸟都有啊!某客户居然要求站长派人给他们的IDC机房施工工作做现场管理,本来站长是要拒绝的;但看在对方提供了不错的条件及近百台代维云服务器的面子上,站长还是答应下来了。这工作问了一圈小弟,没人愿意接手,只能站长自己上了。

    工作内容

    • 根据现有的上架清单,指导工人完成服务器及网络设备的上架工作。
    • 根据网络布线表,管理施工队完成网线的布放工作。
    • 做好后勤工作,保障IDC的施工进度及满足IDC管理方的要求。

           这内容虽然不多,但耗时比较长;站长估计要在现场呆好几天。站长最后也问了对方,为什么不安排自己的人来现场管理。客户回答也很诚实,理由一:因为站长和IDC机房在同一个地方,比较方便;理由二:因为公司在十一期间没人愿意来;而且公司也不愿意出双倍工资。最后谈下来的条件是站长来回打车及住宿全额报修,另外每天补助1800元。站长的十一黄金周就此结束,悲催啊。

    PS:每天补助1800元居然比不过客户公司的双倍薪资,站长什么时候不干了就去这家公司。不知道他们还招人不?

  • 10月3日代维工作单——为某客户安装PHP网站运行环境,并部署一个Wordpress网站

           今天某个客户突然在微信工作群内要求站长帮他代买一台阿里云服务器,并安装好PHP运行环境,最好能够在运行环境上随便部署一个PHP网站。在沟通清楚需求及获得客户的书面授权后,站长首先帮他在阿里云账户内下了一个云服务器的订单。然后由客户自己付款购买,等云服务器创建完成后,站长安排小弟给该客户安装运行环境及PHP网站(我们这里选择的是Wordpress)。

    环境部署

           根据客户的选择,我们这里没有使用任何的第三方面板;纯粹使用命令行通过源码编译的方式安装LNMP环境。主要组件如下:

    • 操作系统:Centos
    • WEB服务器:Nginx
    • 数据库:Mysql
    • 语言解析器:PHP
    • PHP插件:Redis、opcahce、exif、fileinfo
    • key-value缓存:Redis

    最后给安装了一个Wordpress 6.0,并配置的Redis缓存;用以验证以上组件是否安装成功。

  • 10月3日代维工作单——为客户的阿里云服务器调通Mysql本地访问权限

          今天某代维客户因开发工作的需要,需要通过办公场所的PC远程访问阿里云服务器上的Mysql数据库。在接到客户的微信需求后,马不停蹄的为客户调通Mysql访问权限。

    操作实施步骤

           客户的阿里云服务器部署的宝塔面板,面板原生禁止root用户的远程访问。且客户办公场地为企业带宽,有独立IP地址。真土豪啊!!所以只给客户开通了数据库属主用户指定IP的远程访问权限。大致步骤如下:

    1. 在宝塔面板内找到对应的数据库,然后将权限设置为指定IP访问,并填入该IP地址。
    2. 在宝塔面板内打开安全业务,并在防火墙内添加3306端口访问,指定来源IP为客户的企业带宽IP。
    3. 在阿里云服务器的安全组内添加3306端口,并指定来源IP为客户的企业带宽IP。

           至此客户本地办公室已经能够远程管理到Mysql数据库了,并能保证Mysql实例的安全性,避免互联网上的数据库暴露风险。

  • 记一次站长5分钟救援阿里云服务器系统崩溃,导致业务不可用的故障处理情况

    国庆黄金周大家都放假,但各种业务异常不放假。站长今天下午又收到某位代维客户的故障报修。这次现象是客户系统突然中断,ping服务器、直接ssh服务器都失败了。考虑到客户使用的是阿里云服务器,于是直接远程登陆看了下操作系统情况。结果让人非常失望,系统已经崩溃了。既然如此,站长使用了运维第一大招:重启;结果不行。客户为此非常着急,客户急就是站长急,于是重点来了:

    25分钟救援步骤:

    1. 卸载云盘,并对两块云盘做快照,耗时10分钟时间。
    2. 通过自定义镜像恢复系统盘数据,耗时10分钟时间。
    3. 关机并挂载数据盘,然后开机,系统恢复正常,耗时5分钟时间。

    备注:

    本次系统救援如此顺利基于前期业务构架时考虑了各种单点风险,例如将业务程序及数据单独存放于独立的数据盘内,操作系统内只有业务程序的运行环境;对业务程序部署及运行时的重要节点部署并保存自定义镜像等。你也许有疑问,明知有单点风险,为什么不给客户做负载均衡等高可用构架或者部署docker容器呢?这是因为客户就只有1台云服务器,而且使用了Windows Server 2019服务器。

热门标签

acp真题资料(292)acp大数据真题(216)阿里云acp真题(216)阿里云大数据ACP考试报名费(216)阿里云大数据ACP认证报名授权码900元(216)实例规格族(41)阿里云优惠(33)阿里云视频教程(23)ECS(14)OneinStack(10)linux(9)虚拟主机(8)gpu服务器(8)57aliyun网重生之路(8)Centos7(7)WordPress(7)Ossfs(6)域名解析(5)阿里云开通码(5)Cname绑定(4)域名(4)CDN加速(3)Mysql(3)阿里云优惠券(3)云服务器 双十一(3)云服务器 双11(3)云服务器双11(3)云服务器双十一活动(3)云服务器双十一活动拼团(3)云服务器双11活动(3)
在线客服