网站被恶意访问

今天发现,网站挂了,显示404,于是登录到服务器上,重启服务,大概好了几秒钟,就又挂了。于是估计就是某个网站被恶意访问了,或者说被攻击了。查看了 CPU 使用率,达到了100%。

本站是放在 Vultr 上的一个 VPS上,同时还有几个网站都在上面,那么到底是哪个网站被攻击了呢?

我对每个网站都有单独的访问日志记录,大概的看了一下,有一个网站的访问超过平时太多。

对就是 phpBB 简体中文网,phpBB的简体中文语言包是我一直在做的,为了方便他人使用,就建立了这个中文支持社区,用来发布新版本的语言包,以及完整安装包,回答一些问题。平时访问量很小的,大概一个月也就两三万的访问人次,然后网页访问量也就在二十万上下,而,就五月份这三四天,已经超过了一百七十万的页面访问量,太过分了。

具体看了一下日志文件,这些大量访问来源主要是从中国大陆,重庆,IP地址是 183.69.137.71这个网段的,有几十个 IP 地址吧,对我而言,一直很简单粗暴的,就是封掉了事,一般我是在 Nginx 的配置文件中封禁,但是因为 phpBBchinese 是用了 Cloudflare,就到 Cloudflare 的 Security 》 WAF 》 IP Access Rules 那边添加了一条规则。

添加完规则,重启了 Nginx Web 服务器,再来看CPU 使用率,一下子就安静了下来。

回过头来看,日志文件中显示,从四月二十九日开始,就不正常了。当时的数据量还小,网站并没有给搞挂掉,而今天上午就越来越大,CPU 一满,就完全没法访问了。

不知道哪位大神,没事干,来攻击这样一个与世无争,自得其乐的简体语言支持论坛。鉴于封禁是对整个网段进行的,一定会有误伤,只能抱歉了,这属于附带损伤。

下面晒一段访问日志,看看。在极短时间,相邻几个 IP 地址,用不同的 UserAgent,访问多个地址。

此处略去相关代码,请查看桌面标准版文章。