这是一个创建于 3973 天前的主题,其中的信息可能已经有所发展或是发生改变。
static-189-206-125-34.alestra.net.mx - - [24/Nov/2014:12:57:51 +0000] "GET /directory/application/2436/era-solar?utm_source=ENF&utm_medium=Craft-Lights-%28Ornamental-Figures%29&utm_cOntent=2436&utm_campaign=profiles_application HTTP/1.1" 200 31266 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt; DTS Agent"
static-189-206-125-34.alestra.net.mx - - [24/Nov/2014:12:57:51 +0000] "GET /directory/installer/24675/dalian-new-extension-energy-engineering HTTP/1.1" 200 31904 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt; DTS Agent"
194.219.156.42 - - [24/Nov/2014:12:57:52 +0000] "GET /directory/installer/47239/influx-renewables?utm_source=ENF&utm_medium=United+Kingdom&utm_cOntent=47239&utm_campaign=profiles_installer HTTP/1.1" 200 5943 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MASM; .NET4.0C; .NET4.0E; InfoPath.3; ms-office)"
static-189-206-125-34.alestra.net.mx - - [24/Nov/2014:12:57:51 +0000] "GET /directory/installer/24675/dalian-new-extension-energy-engineering HTTP/1.1" 200 31904 "-" "Mozilla/4.0 (compatible; MSIE 5.0; Windows NT; DigExt; DTS Agent"
194.219.156.42 - - [24/Nov/2014:12:57:52 +0000] "GET /directory/installer/47239/influx-renewables?utm_source=ENF&utm_medium=United+Kingdom&utm_cOntent=47239&utm_campaign=profiles_installer HTTP/1.1" 200 5943 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/7.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; MASM; .NET4.0C; .NET4.0E; InfoPath.3; ms-office)"
第 1 条附言 2014-11-24 23:02:34 +08:00
非常感谢各位,最终在Linode的帮助下ban掉它了:
iptables -I INPUT 1 -s 189.206.125.34 -j REJECT --reject-with icmp-host-unreachable
不知道他们怎么获取static-189-206-125-34.alestra.net.mx的ip的,如果提供了,再append到这里。
iptables -I INPUT 1 -s 189.206.125.34 -j REJECT --reject-with icmp-host-unreachable
不知道他们怎么获取static-189-206-125-34.alestra.net.mx的ip的,如果提供了,再append到这里。
第 2 条附言 2014-11-24 23:04:24 +08:00
原来 static-189-206-125-34.alestra.net.mx 中的数字是IP!
 | 1 AlanZhang OP 这个域名static-189-206-125-34.alestra.net.mx在疯狂的爬行网站(导致不停宕机),怎么阻止它 |
| 2 AlanZhang OP 尼玛,还有个贱域名疯狂爬行: host-2.airlink.hu |
 | 3 Radeon 2014-11-24 21:17:24 +08:00 iptables加一条DROP掉就行了 |
 | 5 abelyao 2014-11-24 21:27:34 +08:00 @AlanZhang 话说这个域名怎么拼起来好像一个手机号码… 18920612534… 虽然我觉得应该是个 IP 地址比较准确…… |
| 6 Radeon 2014-11-24 21:31:22 +08:00 |
 | 7 em70 2014-11-24 21:35:22 +08:00 写个脚本用这个awk命令 awk '{print $1 }' /var/log/httpd/access_log.20141124 |sort |uniq -c|sort -nr|head -n 100 每一个小时检查一下,把访问量最高的IP列出来,超过一定量就自动封掉 |
| 11 AlanZhang OP @em70 脚步非常好,第一是 32132 static-189-206-125-34.alestra.net.mx, 这个要怎么封? |
 | 13 lmaq 2014-11-24 21:47:55 +08:00 你的日志竟然没有来路IP = =; |
| 14 Radeon 2014-11-24 21:48:17 +08:00 关掉apache的DNS lookup。再说ping一下不就查到ip了? |
| 15 AlanZhang OP |
 | 17 ETiV 2014-11-24 22:13:05 +08:00 via iPhone 这种都是反着读的,34.125.206.189 DROP这个试试 |
| 19 AlanZhang OP @Radeon apache的DNS lookup已经关掉了,不过,static-189-206-125-34.alestra.net.mx这个地址是ping不到的 |
| 20 Radeon 2014-11-24 22:41:51 +08:00 ~$ ping static-189-206-125-34.alestra.net.mx PING static-189-206-125-34.alestra.net.mx (202.102.110.203): 56 data bytes 这个202.102.110.203 DROP一下 |
 | 22 orzfly 2014-11-24 23:05:06 +08:00 $ nslookup 189.206.125.34 Non-authoritative answer: 34.125.206.189.in-addr.arpa name = static-189-206-125-34.alestra.net.mx. 这域名里不是写了 IP 了么……可以查一下 rDNS 来确认一下嘛…… 所以把 189.206.125.34 DROP 掉吧。 至于 @Radeon 说的,大概是他的 DNS 劫持 NXDOMAIN 到了 202.102.110.203…… |
 | 23 msg7086 2014-11-24 23:09:59 +08:00 via iPhone 这后知后觉的… 另外建议limit-req配合fail2ban 你这全手动,封到哪年去 |
 | 25 Starduster 2014-11-25 00:41:03 +08:00 via iPhone 用limit_req,大概就是检查出远超出平均水平连接数的连接然后ban掉它,一般我发现了这种访问我直接在iptables里drop所有它的所有入站数据 |
 | 26 liuchen9586 2014-11-25 00:59:49 +08:00 via Android 收藏了,的确挺有用 |
 | 27 tywtyw2002 2014-11-25 08:21:09 +08:00 直接ban c段。 |
| 28 AlanZhang OP @msg7086 limit-req在apache下怎么弄? 另外我用了http://deflate.medialayer.com/,但是它只能ban 纯ip,不能ban域名类的。我的服务器apache access_log 上很多不现实ip,只显示域名。fail2ban能解决这个问题吗? |
Select Language