这几天我的网站连续遭遇了几次搜索攻击,导致服务器失去相应,这非常类似以前海量的蜘蛛来爬的情况。
这次的情况是这样的,当我发现服务器的http请求失去响应时登陆服务器,发现大量的Tag搜索请求:
CPU load已经达到150左右。
检查日志,发现这些请求都是来自一个ip: 60.28.235.177
经过查询,这个ip地址来自天津一个叫做Tengxun的公司:
开始我一直怀疑TengXun是不是就是QQ的"腾迅",经过继续查询,发现同一网段的另外一个ip地址:60.28.235.173 来自腾迅的Soso,访问该地址的80端口得到如下错误:
看来这个地址和腾迅的SOSO有关,应该就是SoSO放出来的一只蜘蛛。
目前不清楚Soso为什么会以如此高的并发狂拖网页,而其他搜索引擎就不会如此,没有办法,只好暂时封掉SoSo的IP。
由于iptables封锁的规则存在顺序问题,所以使用iptables增加规则应该使用如下命令:
iptables -I INPUT 1 -s 60.28.235.177 -j REJECT
这样封锁的结果是:
该网址被成功封锁,感谢网友 huc 的帮忙 :)。
-The End-
这次的情况是这样的,当我发现服务器的http请求失去响应时登陆服务器,发现大量的Tag搜索请求:
[gqgai@eygle logs]$ top
top - 17:13:49 up 120 days, 1:43, 1 user, load average: 87.96, 175.87, 123.25
Tasks: 229 total, 55 running, 173 sleeping, 0 stopped, 1 zombie
Cpu(s): 84.4% us, 15.6% sy, 0.0% ni, 0.0% id, 0.0% wa, 0.0% hi, 0.0% si
Mem: 2074980k total, 1837916k used, 237064k free, 840k buffers
Swap: 4192956k total, 154724k used, 4038232k free, 21004k cached
PID USER PR NI VIRT RES SHR S %CPU %MEM TIME+ COMMAND
46 root 16 0 0 0 0 D 7.9 0.0 42:56.37 kswapd0
20279 nobody 25 0 54536 38m 3552 R 6.6 1.9 0:04.00 mt-search.cgi
20289 nobody 24 0 50976 34m 3508 R 6.6 1.7 0:03.41 mt-search.cgi
20288 nobody 25 0 49768 34m 3620 R 5.9 1.7 0:03.52 mt-search.cgi
20242 nobody 25 0 40148 33m 3544 R 4.9 1.7 0:03.29 mt-search.cgi
20253 nobody 25 0 52776 37m 3520 R 4.9 1.8 0:03.58 mt-search.cgi
20275 nobody 25 0 52552 36m 3540 R 4.6 1.8 0:03.59 mt-search.cgi
20236 nobody 25 0 51804 34m 3540 R 3.6 1.7 0:04.00 mt-search.cgi
20277 nobody 24 0 52960 36m 3620 R 3.6 1.8 0:03.83 mt-search.cgi
20223 nobody 25 0 51800 37m 3644 R 3.3 1.8 0:03.89 mt-search.cgi
20225 nobody 25 0 48364 30m 3532 R 3.3 1.5 0:03.44 mt-search.cgi
20228 nobody 20 0 45948 31m 3528 R 3.3 1.5 0:03.31 mt-search.cgi
CPU load已经达到150左右。
检查日志,发现这些请求都是来自一个ip: 60.28.235.177
经过查询,这个ip地址来自天津一个叫做Tengxun的公司:
inetnum: 60.28.235.0 - 60.28.235.255
netname: TengXun-LTD-TJ
country: CN
descr: TengXun Technology Ltd Company
admin-c: HZ19-AP
tech-c: HZ19-AP
status: ASSIGNED NON-PORTABLE
changed: ipaddr@ywb.online.tj.cn 20051229
mnt-by: MAINT-CNCGROUP-TJ
source: APNIC
route: 60.28.0.0/15
descr: CNC Group CHINA169 Tianjin Province Network
country: CN
origin: AS4837
mnt-by: MAINT-CNCGROUP-RR
changed: abuse@cnc-noc.net 20060118
source: APNIC
开始我一直怀疑TengXun是不是就是QQ的"腾迅",经过继续查询,发现同一网段的另外一个ip地址:60.28.235.173 来自腾迅的Soso,访问该地址的80端口得到如下错误:
Forbidden
You don't have permission to access / on this server.
-------------------------------------------------------
Apache/1.3.33 Server at pic2.soso.com Port 80
看来这个地址和腾迅的SOSO有关,应该就是SoSO放出来的一只蜘蛛。
目前不清楚Soso为什么会以如此高的并发狂拖网页,而其他搜索引擎就不会如此,没有办法,只好暂时封掉SoSo的IP。
由于iptables封锁的规则存在顺序问题,所以使用iptables增加规则应该使用如下命令:
iptables -I INPUT 1 -s 60.28.235.177 -j REJECT
这样封锁的结果是:
[root@eygle ]# iptables --list -n
Chain INPUT (policy ACCEPT)
target prot opt source destination
REJECT all -- 60.28.235.177 0.0.0.0/0 reject-with icmp-port-unreachable
RH-Firewall-1-INPUT all -- 0.0.0.0/0 0.0.0.0/0
该网址被成功封锁,感谢网友 huc 的帮忙 :)。
-The End-
「喜欢这篇文章,您的关注和赞赏是给作者最好的鼓励」
关注作者
【版权声明】本文为墨天轮用户原创内容,转载时必须标注文章的来源(墨天轮),文章链接,文章作者等基本信息,否则作者和墨天轮有权追究责任。如果您发现墨天轮中有涉嫌抄袭或者侵权的内容,欢迎发送邮件至:contact@modb.pro进行举报,并提供相关证据,一经查实,墨天轮将立刻删除相关内容。
