上班一看监控,nginx链接变好大。虽然负载神马的还不高。
查看日志,N多地址访问一个接口。偶尔一次受攻击还是挺紧张的。
120.202.67.3 - - [26/Apr/2016:11:07:29 +0800] "POST /log/yz HTTP/1.1" 200 162 "-" "Mozilla/5.0" 116.23.16.165 - - [26/Apr/2016:11:07:29 +0800] "POST /log/yz HTTP/1.1" 200 162 "-" "Mozilla/5.0" 60.173.201.116 - - [26/Apr/2016:11:07:29 +0800] "POST /log/yz HTTP/1.1" 200 162 "-" "Mozilla/5.0" 175.149.99.44 - - [26/Apr/2016:11:07:29 +0800] "POST /log/yz HTTP/1.1" 200 162 "-" "Mozilla/5.0" 27.115.74.10 - - [26/Apr/2016:11:07:29 +0800] "POST /log/yz HTTP/1.1" 200 162 "-" "Mozilla/5.0"
都这种语句 。
处理办法 首先想到的 屏蔽这个的user_agent
if ($http_user_agent ~* "^Mozilla/5.0$"){
return 403;
}开始放到 location下面 发现居然无效,转到server下面。
然后 防止user_agent 变化 ,还是从程序入手 ,通知开发加上各种验证,限制。
其后 想了想, 还可以分析日志 将调用这个URL的ip超过一定数量deny掉。因为这个几乎不会有什么访问。
目前还在持续访问中。。。
不知大家有什么应对方案
