第92章 蛛丝马迹（1/2）

他必须找到根源并堵住漏洞。

他仔细分析访问日志。

发现攻击请求集中涌向几个特定的，带有多参数查询的URL。

这些请求的User-Agent也高度相似，明显是自动化脚本发出的。

他意识到问题所在：

“防火墙太弱了，很容易被突破进来。”

他之前只设置了最基本的端口放行规则，对http请求缺乏更精细的过滤。

就在他手忙脚乱地研究iptables规则，

试图添加针对异常频率和特征的连接进行限制时。

一封新邮件的提示弹窗在屏幕角落闪过。

发件人：xxxxxxx

主题：你的堡垒有个后门

林志华点开邮件：

“看来有小朋友不喜欢你的东西。”

“攻击流量源自一个公共的压力测试bot。”

“水平很烂，但对付你的玩具服务器足够了。”

“你的iptables规则像筛子一样。”

“第22条规则逻辑错误。”

“允许了EStAbLIShEd包的回流，反而给了他们持续握手的机会。”

“附件里有个我改过的脚本。”

“基于连接频率和URI模式进行匹配丢弃，应该能挡住这种级别的垃圾流量。”

“另外你的博客源码泄露了wordpress的版本号，记得隐藏它。”

— xxxxxx”

邮件末尾有一个GpG签名附件。

林志华感到一阵后怕，随即是巨大的惊愕。

他立刻检查了自己的防火墙规则，第22条果然有一个致命的逻辑错误。

是他之前照搬网上教程时不小心留下的。

这个漏洞等于是给攻击者开了一个小门。

他没有犹豫，下载了脚本，仔细检查了每一行代码然后谨慎地执行。

脚本生效极快。

几分钟内，at里的异常连接数锐减，cpU占用率像退潮一样落回正常水平。

攻击流量被精准地识别并丢弃了。

服务器恢复了正常，只剩下访问日志里那些密密麻麻的失败请求记录。

他回复邮件，只有简单的几个字：

“谢谢你的帮忙。你怎么知道的？”

几分钟后，回复来了：

“你的博客挂了。我正好在看。攻击流量源有几个是我标记过的垃圾Ip段。”

“菜鸟手法，但你更菜。”

“脚本好用的话，帮我测试下那个多重签名钱包的时间锁功能。”

林志华明白了。

这是一种极客式的以工换工。

他检查了下脚本，确认没有后门后，大胆地在服务器上运行。

脚本自动化地设置了一套更精细的iptables规则。

并封禁了刚才攻击源中的几个核心Ip段。

服务器恢复平静后，林志华并没有立刻去休息。

他调取了云服务商提供的流量清洗日志和原始的服务器访问日志。

本章未完，点击下一页继续阅读。