原因,黑客通过日志里面的一个refer地址 是一个登陆界面,带着这个页面产生的token 去发送短信,导致一天刷了65w条,如下 方法不能根本解决,需要调整程序 代码,调整api接口验证
解决后截图 所有黑名单ip访问截图
1 追踪wap日志过滤关键字, request列日志 发送短信链接 刷新频率很大
2 nginx 配置添加本办公网环境 ip allow
3 将发送注册短信息的ip 超过十条的ip进行封锁。
#!/bin/sh
#DATE=`date +%m/%b/%Y`
#DATE="10/Sep/2015"
DATE=`date|awk '{print $3"/"$2"/"$NF}'`
FILE_WAP="/data/logs/access_wap.log"
#FILE_WWW="/data/logs/access_www.log"
grep "${DATE}" ${FILE_WAP} |awk '$7 ~ /^/utility/send$/{print $1}'|sort |uniq -c |sort -rn|awk '$1 > 10{print "deny",$NF";" > "/usr/local/nginx/conf/include/blackip_wap.conf"}'
#grep "${DATE}" ${FILE_WWW} |awk '$7 ~ /^/utility/send$/{print $1}'|sort |uniq -c |sort -rn|awk '$1 > 100{print "deny",$NF";" > "/usr/local/nginx/conf/include/blackip_www.conf"}'
/usr/local/nginx/sbin/nginx -s reload
4 加入定时任务
5 再写一个每晚清空黑名单ip的脚本
清空如下文件
[liujianzuo@ow2 scripts]$ cat /usr/local/nginx/conf/include/blackip_wap.conf |head
deny 119.6.80.191;
deny 114.238.71.34;
deny 123.119.177.111;
deny 58.243.0.66;
deny 218.91.40.152;
deny 183.59.70.195;
deny 58.58.22.114;
deny 122.234.165.49;
deny 222.67.212.108;
deny 60.181.44.255;