直接 IP 攻击、Elastic Beanstalk/NGINX

Question

我的网站有点问题。 所以设置是 ElasticBeanstalk(NGINX) + Cloudflare

但是每天凌晨 4 点左右，我的服务器都会受到直接 IP 攻击。 大约 300 个请求在 1-2 分钟内。 Bot 尝试访问一些资源，例如

GET /phpMyadmi/index.php HTTP/1.1
GET /shaAdmin/index.php HTTP/1.1
POST /htfr.php HTTP/1.1

目前他们都使用 80 或 8080 端口。 并由 Nginx 配置成功处理，将其重定向到 example:443

server {
        listen 80 default_server;
        listen 8080 default_server;
        server_name _;
        return 301 https://example.com$request_uri;
      }

      server {
        listen 443 ssl;
        server_name example.com;
        ssl on;    
...

所以问题是，

1. 有许多网站所有者/devOps 面临同样的攻击。您采取了哪些措施来防止此类攻击。
2. 目前处理得很好，不影响服务器工作，我应该担心吗？或者只是用 /phpmy/ 模式过滤掉日志并忘记它。
3. 在此攻击之前，我使用 PROPFIND 方法请求，出于安全原因，我是否应该阻止它？目前由默认服务器处理。

我知道我可以使用 Cloudflare Argotunel 或 ELB + WAF。但我现在并不想这样做。

我在 stackoverflow 上找到了一种解决方案。是所有 cloudflare ip 的白名单。但我认为这不是一个好的。

我猜还有另一个应该可行的解决方案是检查主机标头，并将其与“example.com”进行比较。

Answer 1

回答您的具体问题：

1. 每个公共 IP 都会收到您所描述的不需要的流量，遗憾的是这很正常。这并不是真正的攻击，它只是一个寻找特定弱点迹象的机器人，或者试图引发包含有用数据的响应。毫无疑问，这些数据后来被用于实际攻击，但它基本上是在潜在的大规模上自动识别。

2. 这种脚本可能不会试图造成任何损害，因此只要您的服务器配置良好并完全修补它就不是什么大问题。然而，这些类型的扫描是发起攻击的第一步——通过识别具有已知漏洞的服务和应用程序版本——因此保留日志以供分析是明智之举。

3. 您应该遵循最小权限原则。 PROPFIND 与 WebDAV 相关 - 如果您不使用它，请禁用它（或者更好地将您支持的动词列入白名单并忽略其余部分）。

如果您的站点已经在 CloudFlare 之后，那么您确实应该通过防火墙访问您的 IP，以便只有 Cloudflares IP 可以与您的服务器通信。这些 IP 确实会发生变化，因此我建议使用脚本从 https://www.cloudflare.com/ips-v4 下载最新版本并让它定期更新您的防火墙。 CloudFlare 有一篇关于这个主题的略带语言的帮助文章：https://support.cloudflare.com/hc/en-us/articles/200169166-How-do-I-whitelist-Cloudflare-s-IP-addresses-in-iptables-

如果由于某种原因您无法为 IP 设置防火墙，则下一个最佳选择是类似 fail2ban (www.fail2ban.org) - 它是一个日志解析器，可以根据找到的模式操纵防火墙临时或永久阻止 IP 地址在您的日志文件中。

最后的想法 - 建议不要从你的 IP 重定向到你的域名 - 你告诉机器人/黑客你的 URL - 然后他们可以用来绕过 CDN 并直接攻击你的服务器。除非您有某些理由允许 HTTP/HTTPS 流量到您的 IP 地址，否则请在请求到达您的 IP 时返回 4XX（可能是 444 “连接关闭而没有响应”）而不是重定向。然后，您应该创建一个单独的服务器块来处理您的重定向，但只让它响应真正的命名 URL。