注意到我的AWS托管网站向LB添加了一个新实例,然后进入了解原因。没有真正看到任何重大的上升,所以我检查了日志。发现这个(为了安全起见,我在IIP号码中替换了一些数字):
2017-10-12 03:18:40 172.X.X.152 HEAD /MySite_deploy/db/phpmyadmin3/ - 80 - 172.Y.Y.203 Mozilla/5.0+Jorgee - 404 0 2 0
2017-10-12 03:18:41 172.X.X.152 HEAD /MySite_deploy/administrator/phpmyadmin/ - 80 - 172.Y.Y.203 Mozilla/5.0+Jorgee - 404 0 2 0
2017-10-12 03:18:42 172.X.X.152 HEAD /MySite_deploy/administrator/web/ - 80 - 172.Y.Y.203 Mozilla/5.0+Jorgee - 404 0 2 15
2017-10-12 03:18:45 172.X.X.152 HEAD /MySite_deploy/administrator/admin/ - 80 - 172.Y.Y.203 Mozilla/5.0+Jorgee - 404 0 2 0
2017-10-12 03:18:46 172.X.X.152 HEAD /MySite_deploy/phpMyAdmin4/ - 80 - 172.Y.Y.203 Mozilla/5.0+Jorgee - 404 0 2 0
2017-10-12 03:18:47 172.X.X.152 HEAD /MySite_deploy/PMA2011/ - 80 - 172.Y.Y.203 Mozilla/5.0+Jorgee - 404 0 2 0
2017-10-12 03:18:47 172.X.X.152 GET /MySite_deploy/default.aspx - 80 - 172.31.8.111 ELB-HealthChecker/1.0 - 200 0 0 0
2017-10-12 03:18:47 172.X.X.152 HEAD /MySite_deploy/PMA2013/ - 80 - 172.Y.Y.203 Mozilla/5.0+Jorgee - 404 0 2 0
2017-10-12 03:18:49 172.X.X.152 GET /MySite_deploy/default.aspx - 80 - 172.Y.Y.203 ELB-HealthChecker/1.0 - 200 0 0 0
2017-10-12 03:18:49 172.X.X.152 HEAD /MySite_deploy/PMA2015/ - 80 - 172.Y.Y.203 Mozilla/5.0+Jorgee - 404 0 2 0
2017-10-12 03:18:50 172.X.X.152 HEAD /MySite_deploy/PMA2018/ - 80 - 172.Y.Y.203 Mozilla/5.0+Jorgee - 404 0 2 0
2017-10-12 03:18:52 172.X.X.152 HEAD /MySite_deploy/pma2013/ - 80 - 172.Y.Y.203 Mozilla/5.0+Jorgee - 404 0 2 0
2017-10-12 03:18:54 172.X.X.152 HEAD /MySite_deploy/pma2016/ - 80 - 172.Y.Y.203 Mozilla/5.0+Jorgee - 404 0 2 0
2017-10-12 03:18:55 172.X.X.152 HEAD /MySite_deploy/phpmyadmin2011/ - 80 - 172.Y.Y.203 Mozilla/5.0+Jorgee - 404 0 2 0
2017-10-12 03:18:56 172.X.X.152 HEAD /MySite_deploy/phpmyadmin2014/ - 80 - 172.Y.Y.203 Mozilla/5.0+Jorgee - 404 0 2 0
2017-10-12 03:18:57 172.X.X.152 HEAD /MySite_deploy/phpmyadmin2017/ - 80 - 172.Y.Y.203 Mozilla/5.0+Jorgee - 404 0 2 0
2017-10-12 03:18:57 172.X.X.152 HEAD /MySite_deploy/phpmanager/ - 80 - 172.Y.Y.203 Mozilla/5.0+Jorgee - 404 0 2 15
我有人试图获取访问权限?我怎样才能防止这样的攻击呢?我可以吗?
此致
鲍勃
答案 0 :(得分:1)
您还可以使用像fail2ban这样的软件应用程序防火墙来检测此类攻击,并编写规则来阻止原始IP。
答案 1 :(得分:0)
如果您愿意花一些钱,那么您可以部署AWS WAF / CDN。 WAF附带一些预先机制的机器人,当请求数量高于配置的阈值时,它会阻止IP地址。您可以配置更多,但它是一种昂贵的解决方案。
答案 2 :(得分:0)
Jorgee并没有攻击您的网站,但它正在扫描可用于利用您网站的常见应用程序。很快,您的日志文件将包含来自不良演员的大量流量....
我建议设置Amazon WAF(Web应用程序防火墙)。 WAF价格便宜。 WAF ACL每月费用为5.00美元,每条规则每月费用为1.00美元。我们为几个网站提供一个WAF,总费用为13.00美元。您还需要设置负载均衡器或云端以将WAF连接到。
WAF和负载均衡相结合减少了大量垃圾流量,我们减少了实例大小,这意味着我们可以省钱。