第一次遭遇DDOS攻击的惨痛经历

前天北京时间晚上8:00左右,网站莫名的遭遇了DDOS攻击,当时不清除情况,然后傻不拉几的进行系统升级,VPS从1G内存升级到2G,结果,开机几分钟,还是挂了。一直到晚上12点,还是如此循环,没办法拿到网站日志,也不清楚是什么原因,只是猜测网站被恶意爬虫爬了网站,太累了,不整了。就让它这样吧,结果,第二天到了早上10点左右才终于消停了点。

然后去查看我的服务器日志。下载下来后发现一团糟糕。但基本可以肯定遭遇了DDOS攻击了。这个时候再把VPS降级到1G内存,一切貌似正常。

防御部分:


  1. /xmlrpc.php访问问题,查了一下,这个是一个暴力破解,需要屏蔽掉文件访问,故在网站的htaccess文件中添加禁止访问代码。


  2. 把网站设置成不允许IP直接访问,但由于网站整体架构是使用了CDN加速,而CDN加速中,CDN对网站的访问是直接的IP访问,所以,这里要把所有的CDN节点设置成允许访问,大致就是这样的了。这样,大部分的DDOS攻击算是处理好了。


  3. 本以为这样基本就够了。可是发现还有一个IP,还是一直在访问/xmlrpc.php文件,虽然返回的是403错误可是却还是不停止。最后没有办法,先用CDN中的防火墙屏蔽IP,没用,后来用VPS中的防火墙直接把IP屏蔽了。然后发现终于消停了。


  4. 配置apache内存限制
    修改配置文件mpm.conf




MaxConnectionsPerChild 100
StartServers 3
MinSpareServers 2
MaxSpareServers 5
ServerLimit 100
MaxClients 100


通过以上这些操作,大致明白了一点,此次DDOS是通过直接的VPS服务器访问的。其实,最好的方式是在主机和服务器中间再创建一个负载均衡服务器,然后在这里把控安全问题,包括阻止DDOS攻击等等。

评论

发表评论

此博客中的热门博文

certbot cloudflare申请通用域名证书

环境 OS:centos 7 server:apache 简介 Let's Encrypt SSL 证书申请,原始工具已经可以完成一些基本常见的操作,但操作复杂,而且由于一些特殊原因依然会导致一些问题而难以解决,cetbot是Let's Encrypt SSL第三方工具。 安装环境 yum -y install yum-utils yum install -y certbot-apache 问题 问题 直接运行后会报错 File "/usr/lib/python2.7/site-packages/requests/exceptions.py", line 10, in <module> from .packages.urllib3.exceptions import HTTPError as BaseHTTPError 解决办法 pip的url包问题,解决办法如下 pip install requests urllib3 pyOpenSSL --force --upgrade 问题 pip: command not found 解决办法 yum -y install python-pip 问题 <module 'OpenSSL.crypto' from '/usr/lib64/python2.7/site-packages/OpenSSL/crypto.so'> <module 'OpenSSL.crypto' from '/usr/lib64/python2.7/site-packages/OpenSSL/crypto.so'> Traceback (most recent call last): File "/bin/certbot", line 7, in from certbot.main import main File "/usr/lib/python2.7/site-packages/certbot/main.py", line 17, in from certbot import client File "/usr/lib/python2.7/site-package
阅读全文

Centos7 安装 PHP7

Centos7 安装 PHP7 安装epel yum install epel-release -y 安装IUS Community Repo rpm -Uvh https://centos7.iuscommunity.org/ius-release.rpm 安装php7 yum install phpMyAdmin php70u-{bcmath,cli,common,gd,json,mbstring,mcrypt,mysqlnd,process,tidy,xml} 关于webtatic 国内盛传一种库,webtatic,网上多半的方式是 rpm -Uvh https://mirror.webtatic.com/yum/el7/webtatic-release.rpm yum install php70w 关于webtatic,官方在 支持文档 1 中强烈建议不要使用webtatic。 参考 1. ius Getting Started 2. ius FAQ 3. centos官方文档:可供 CentOS 使用的软件库
阅读全文

在centos 7上用postfix,dovecot,mariaDB配置邮箱

图片
安装方法 Postfix 邮件传输代理(MTA)是一款高性能的开源电子邮件服务器系统。本指南将帮助您在CentOS 7 Linode上运行 Postfix ,使用 Dovecot 进行 IMAP / POP3 服务,并使用 MariaDB (一种替代MySQL的插件)存储有关虚拟域和用户的信息。 在使用本指南之前,请确保您已遵循入门指南并设置您的主机名。还要确保 iptables 防火墙不阻止任何标准邮件端口( 25 , 465 , 587 , 110 , 995 , 143 和 993 )。如果使用不同形式的防火墙,请确认它没有阻塞任何所需的端口。 注意 本指南中的步骤需要 root 权限。一定要以 root 身份或 sudo 前缀运行以下步骤。有关权限的更多信息,请参阅我们的用户和组指南。 安装所需的程序包 安装未完成的软件包更新: yum update 修改yum库 主要 CentOS 存储库中包含的 Postfix 版本不包含对 MariaDB 的支持;因此,您需要从 CentOS Plus 存储库安装 Postfix 。在此之前,请向 Postfix 软件包 [base] 和软件 [updates] 仓库添加排除项,以防止它被没有 MariaDB 支持的更新覆盖: File excerpt: /etc/yum.repos.d/CentOS-Base.repo [base] name=CentOS-$releasever - Base exclude=postfix # released updates [updates] name=CentOS-$releasever - Updates exclude=postfix 安装所需的软件包: yum --enablerepo=centosplus install postfix yum install dovecot mariadb-server dovecot-mysql 这将安装 Postfix 邮件服务器, MariaDB 数据库服务器, Dovecot IMAP 和 POP 守护程序以及提供与身份验证相关的服务的多个支持包。 接下来,建立一个 MariaDB 数据库来处理虚拟域和用户。 设置MariaDB为虚拟域名和用户 配置 MariaDB 以在启动时启动,然后启动 MariaDB :
阅读全文