Linux下apache防惡意訪問(攻擊)腳本

原創 wantianwen 2018-08-27 04:28

一、場景:由於公司在行業這塊比較出名,經常會受到競爭對手的惡意攻擊,導致網站經常訪問癱瘓

二、分析:1、某一天內某些IP訪問量非常大,2、某一IP連接訪問超過的次數到達一定的次數(本文中設置爲8)

三、解決思路:通過第二點分析出來的兩點問題進行攔截,但要注意的只,只攔截有效URL或者是我們想攔截的URL,舉個例子,一個客戶訪問了網站首頁,但客戶的請求一次網站首頁,連帶的同時客戶也請求了網站首頁所需求加載的各個圖片、css、js等資源,這些請求我們是不能算在客戶請求裏的,對於這樣的客戶有效訪問只算一次,即他只訪問了首頁

四、提前說明:網站的apache訪問日誌是一天分割兩次的,這樣的話,每天的apache訪問日誌量不會太大,程序分析起來效率會快很多

五、先看一下shell腳本(該shell腳本可以在linux crontab裏設置分1到3分鐘執行一次):

#!/bin/sh
#危險負載閾值,當系統負載達到該值時啓動攔截程序
TOP_SYS_LOAD_NUM=2.1
#安全負載閾值,當系統負載達到該值時關閉攔截程序
SAFE_SYS_LOAD_NUM=0.5
#apache危險連接數,當apache連接數達到該值時啓動攔截程序(與系統負載的閾值是“或”的關係)
HTTPD_PROCESS_NUMBER_MAX=350
#apache危險連接數,當apache連接數低於該值時關閉攔截程序(與系統負載的閾值是“且”的關係)
HTTPD_PROCESS_NUMBER_SAFE=250
SYS_LOAD_NUM=`uptime | awk '{print $(NF-2)}' | sed 's/,//'`
HTTPD_PROCESS_NUMBER=`ps -ef | grep httpd | wc -l`
#攔截文件標識(以些來判斷是否已經處理攔截狀態)
FILEPATH=/var/www/html/test/.htaccess_under_attack.id
ISOLDCONFIGFILE=""

echo $(date +"%y-%m-%d") `uptime`
echo $HTTPD_PROCESS_NUMBER

#滿足條件時啓動攔截
if [ `echo "$TOP_SYS_LOAD_NUM < $SYS_LOAD_NUM"|bc` -eq 1 ] || [ `echo "$HTTPD_PROCESS_NUMBER_MAX < $HTTPD_PROCESS_NUMBER"|bc` -eq 1 ]
then
        #如果之前已經開始攔截(創建了攔截文件),那麼攔截日誌一行的後面會加多加一段顯示“更新後”,如【圖1】
	if [ -f $FILEPATH ]
        then
                ISOLDCONFIGFILE="\t更新後"
        #否則創建攔截文件,如下【圖2】
	else
                touch $FILEPATH
        fi
	#切換到攔截網站的根目錄
        cd /var/www/html/test/crond/
	#運行攔截php程序
        /usr/bin/php -q crond_under_attack.php > /dev/null 2>&2
	#將php程序更新好的apache的重寫文件.htaccess_under_attack覆蓋到根目錄
        cp /var/www/html/test/.htaccess_under_attack /var/www/html/test/.htaccess_under_attack_temp
        mv -f /var/www/html/test/.htaccess_under_attack_temp /var/www/html/test/.htaccess
        #已啓動攔截程序,並將“使用黑名單(智能加強)配置文件”記錄日誌,如【圖2】
	echo -e "##" $(date +"%Y-%m-%d %H:%M:%S") " 使用黑名單(智能加強)配置文件"""$ISOLDCONFIGFILE >> /var/www/html/test/log/apache_access/apache_access_$(date +%Y%m%d).txt
#否則我們不執行攔截程序,或者記錄日誌告訴我們:之前處於攔截狀態,現在已安全,並使用了默認配置文件,並將“使用了默認配置文件”這段話記錄在日誌,如【圖3】
else
	if [ -f $FILEPATH ] && [ `echo "$SAFE_SYS_LOAD_NUM > $SYS_LOAD_NUM"|bc` -eq 1 ] && [ `echo "$HTTPD_PROCESS_NUMBER_SAFE > $HTTPD_PROCESS_NUMBER"|bc` -eq 1 ]
	then
		rm -f $FILEPATH
		cp /var/www/html/test/.htaccess_default /var/www/html/test/.htaccess_default_temp
		mv -f /var/www/html/test/.htaccess_default_temp /var/www/html/test/.htaccess
		echo "##" $(date +"%Y-%m-%d %H:%M:%S") " 使用默認配置文件" >> /var/www/html/test/log/apache_access/apache_access_$(date +%Y%m%d).txt
	else
		echo "Do nothing" `uptime`
	fi
fi

六、shell腳本調用的php腳本(自動檢測和更新黑名單)如下:

<?php
	$match_string = "index.php?action=login";
	$match_string_second = "script>";
	//連續訪問最大次數
	$match_time = 8;
	//日誌文件最後300行最多訪問次數
	$matched_numbers_300 = 40;
	//ip白名單
	$ip_white_array = array('172.68.34.45','172.68.46.82');
	//根據不同的時間段,設置一個IP最大的訪問次數,如現在是16點那麼,一個判斷的標準就是該ip在日誌中出現的有效訪問次數不能超過4000
	$matched_numbers = 3000;
	$date_hour = date("H");
	if(in_array($date_hour, array('06', '07', '19', '20'))) {
		$matched_numbers = 800;
	} else if(in_array($date_hour, array('03', '04', '05', '16', '17', '18'))) {
		$matched_numbers = 4000;
	}	
	
	$log_dir = "../log/under_attack";
	//獲取apache配置文件的內容
	$htaccess_content = file_get_contents("/var/log/httpd/access_test_log");
	$htaccess_content_array = explode("\n", $htaccess_content);
	$htaccess_content_array_count = count($htaccess_content_array);
	$htaccess_content_array_300 = array_splice($htaccess_content_array, $htaccess_content_array_count - 300, 300);

	$hack_array = array();
	$hack_array_number = array();
	//字符串中帶有這些訪問標識的不記錄在有效訪問次數中
	$match_char = "/(OPTIONS |ajax_|.jpg|.jpeg|.png|.gif|.bmp|.js|.css)/i";
	$date_hour = intval(date("H"));
	foreach($htaccess_content_array as $htaccess_value) {
		$line_array = explode(" - - ", $htaccess_value);
		if(!preg_match($match_char, $htaccess_value)) {
			array_push($hack_array_number, $line_array[0]);
		} else if(strstr($htaccess_value, $match_string)) {
			array_push($hack_array, $line_array[0]);
		} else if(strstr($htaccess_value, $match_string_second)) {
			array_push($hack_array, $line_array[0]);
		}
	}
	
	$hack_array_300 = array();
	$hack_array_number_300 = array();
	foreach($htaccess_content_array_300 as $htaccess_value_300) {
		$line_array_300 = explode(" - - ", $htaccess_value_300);
		if(!preg_match($match_char, $htaccess_value_300)) {
			array_push($hack_array_number_300, $line_array_300[0]);
		} else {
			array_push($hack_array_300, $line_array_300[0]);
		}
	}
	
	$under_attack_ips_insert = "";
	$under_attack_log = "";
	
	$hack_total = array();

	foreach($hack_array_number as $hack_value) {
		if(!in_array($hack_value, $ip_white_array)) {
			if(!isset($hack_total[$hack_value])) {
				$hack_total[$hack_value] = 1;
			} else {
				$hack_total[$hack_value] = $hack_total[$hack_value] + 1;
			}
		}
	}
	
	foreach($hack_total as $total_key => $total_value) {
		if($total_value < $matched_numbers) {
			unset($hack_total[$total_key]);
		}
	}
		
	foreach($hack_array as $hack_value) {
		if(!in_array($hack_value, $ip_white_array)) {
			if(!isset($hack_total[$hack_value])) {
				$hack_total[$hack_value] = 1;
			} else {
				$hack_total[$hack_value] = $hack_total[$hack_value] + 1;
			}
		}
	}

	foreach($hack_total as $hack_key => $hack_time) {
		if($hack_time >= $match_time) {
			$under_attack_ips_insert .= "Deny from " . $hack_key . "\n";
			$under_attack_log .= $hack_key . "\t" . $hack_time . "\n";
		}
	}
	
	
	/***********取倒數300行數據進行分析開始************/
	
	$hack_total_300 = array();

	foreach($hack_array_number_300 as $hack_value_300) {
		if(!in_array($hack_value_300, $ip_white_array)) {
			if(!isset($hack_total_300[$hack_value_300])) {
				$hack_total_300[$hack_value_300] = 1;
			} else {
				$hack_total_300[$hack_value_300] = $hack_total_300[$hack_value_300] + 1;
			}
		}
	}
	
	foreach($hack_total_300 as $total_key => $total_value) {
		if($total_value < $matched_numbers) {
			unset($hack_total_300[$total_key]);
		}
	}
		
	foreach($hack_array_300 as $hack_value_300) {
		if(!in_array($hack_value_300, $ip_white_array)) {
			if(!isset($hack_total_300[$hack_value_300])) {
				$hack_total_300[$hack_value_300] = 1;
			} else {
				$hack_total_300[$hack_value_300] = $hack_total_300[$hack_value_300] + 1;
			}
		}
	}
	
	foreach($hack_total_300 as $hack_key_300 => $hack_time_300) {
		if($hack_time_300 >= $matched_numbers_300) {
			$under_attack_ips_insert .= "Deny from " . $hack_key_300 . "\n";
			$under_attack_log .= $hack_key_300 . "\t" . $hack_time_300 . "\texceed " . $matched_numbers_300 . " in line " . count($hack_array_number_300) . "/300\n";
		}
	}
	
	/***********取倒數300行數據進行分析結束***********/
	
	//要切割的文件模式如【圖4】
	$under_attack_split = "#under_attack_ips";
	$under_attack_htaccess = file_get_contents("../.htaccess_under_attack");
	$under_attack_htaccess_array = explode($under_attack_split, $under_attack_htaccess);
	//寫入配置文件
	$under_attack_htaccess_content = $under_attack_htaccess_array[0] . $under_attack_split . "\n" . $under_attack_ips_insert . $under_attack_split . $under_attack_htaccess_array[2];
	file_put_contents("../.htaccess_under_attack", $under_attack_htaccess_content);
	file_put_contents($log_dir . "/under_attack_log_" . date("YmdHis") . "_" . $htaccess_content_array_count . ".txt", $under_attack_log);
?>

七、大功告成,至此之後網站抵禦了99%的攻擊

推薦閱讀:http://www.laikanxia.com

 

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

shell腳本學習(二):文件比較等操作

對應《Linux命令行與shell腳本編程大全》 -- 章節12.4.3 test1: -d file :檢查目錄 #!/bin/bash dir="/home//shell/dir" if [ -d $dir ] then

在深圳搬砖 2020-07-08 12:23:43

解決find命令報錯: paths must precede expression 解決find命令報錯: paths must precede expression

解決find命令報錯: paths must precede expression     在一天早上,想在服務器 /tmp 目錄清除一些pdf文件,大概一萬多個文件,在執行命令的時候 find /tmp -maxdepth 1

a318013800 2023-06-18 13:35:10

MakeFile精華【四】---使用變量

使用變量 ———— 在Makefile中的定義的變量,就像是C/C++語言中的宏一樣,他代表了一個文本字串,在Makefile中執行的時候其會自動原模原樣地展開在所使用的地方。其與C/C++所不同的是,你可以在Makefile中改變其值。

哈喽沃德_1225 2020-07-08 12:33:49

阿里年薪破百架構師推薦:鳥哥的Linux私房菜,搭配面試題,真香

在Linux實操的過程中,你是否有過這些疑問: 如何提取日誌中含有關鍵字的指定行,上一行或上幾行? ln 做了符號鏈接,對符號鏈接進行權限修改,原文件是否會受到影響? Shell 腳本里有很多特殊符號,到底該怎麼用?網上流傳的

毛发旺盛的程序员 2020-07-08 12:27:30

shell腳本學習(三)

test1:for循環 #!/bin/bash for var in one two three four do echo "The number is $var" done echo "Now show read v

在深圳搬砖 2020-07-08 12:23:42

shell腳本實踐1:截取字符串

請根據以下要求截取出字符串中的字符:http://www.aaa.com/root/123.htm 1.取出www.aaa.com/root/123.htm 2.取出123.htm 3.取出http://www.aaa.com/root

在深圳搬砖 2020-07-08 12:23:41

shell腳本實踐2:自定義rm命令

linux系統的rm命令太危險,一不小心就會刪除掉系統文件。 寫一個shell腳本來替換系統的rm命令,要求當刪除一個文件或者目錄時,都要做一個備份,然後再刪除。 1. 簡單的實現: 假設有一個大的分區/data/,每次刪除文件或者目錄之

在深圳搬砖 2020-07-08 12:23:41

正則表達式獲取Maven依賴中的groupId

用於打包時剔除第三方jar包 mvn dependency:tree | grep '[\W\w]*:[a-zA-Z0-9_\.-]*:[a-zA-Z0-9]*:[a-zA-Z0-9\.-]*:[a-zA-Z0-9]*' |

路漫漫走 2020-07-08 11:45:59

PHP 代碼行數統計

<?php // 行數 $line = 0; // 需要統計的文件類型 $arr = array("php", "html", "css", "js"); // 過濾的文件夾 $filtering = array("ui", "dist

avenjan 2020-07-08 12:38:08

慎用PHP $_REQUEST數組

我平時總是喜歡用$_REQUEST這個數組,不是因爲別的,簡單,而且想用GET時候就用GET直接測試即可。還可以把URL打出來,很是方便。從而很少用$_GET和$_POST超全局變量。 不過,從今以後我會盡量不再使用$_REQUEST

二两天涯 2020-07-08 12:16:43

php函數名前面加@是何意

一、、、、@ 運算符只對表達式有效。對新手來說一個簡單的規則就是:如果能從某處得到值,就能在它前面加上 @ 運算符。例如,可以把它放在變量,函數和 include() 調用,常量,等等之前。不能把它放在函數或類的定義之前,也不能用於條件

二两天涯 2020-07-08 12:16:42

PHP和Javascript的JSON交互(處理一個二維數組)(轉)

xmphoenix 2020-07-08 12:00:47

php,checkbox多選框上傳失敗

用慣java和其他語言的時候,表單上傳只需要checkbox的name相同的時候就可以上傳了 <input type="checkbox" name="checkbox" value="1"> 選項1 <input type="c

阿冰介 2020-07-08 11:48:15

php中的&&運算符

今天看discuz源碼,在一個函數裏發現這麼個語句: http:// $output && print($ret); 其中$output是這個函數的一個參數,值爲true或false;$ret是一個字符串. 測試了一下,如果$output

yangmingysc 2020-07-08 11:45:39

php+mysql存儲html文件

$fileContent = trim($fileContent); $fileContent=$queueList->characet($fileContent);

moliyiran 2020-07-08 11:15:53