烈马刷统计IP 中没中招都建议先屏蔽吧

whrs

于昨日某个不到1万ip的xs站被烈马盯上了，被刷了统计




昨日傍晚被ddos cc，已经套了cf的cdn，但还是扛不住，网站无法访问。

晚上去问了TG，万ip80，点击0.08，是其他网盟的一半

今天查了下统计，把刷统计的IP记录一下，并且公布，中没中招都建议先屏蔽吧：
49.89.84.70
180.109.36.190
220.173.122.134
114.231.41.187
223.156.165.198
223.156.166.73
182.99.40.50
183.162.146.4
222.188.249.65
114.227.85.52
113.2.173.212
113.121.189.49
218.24.52.215
49.82.26.117
117.70.46.186
42.202.50.138
223.214.122.69
36.56.144.141
122.230.151.177
115.207.156.107
117.70.52.18
49.71.141.112
175.9.104.88
124.227.82.27
121.225.248.196
117.95.9.254
49.88.150.78
60.169.99.34
117.90.1.82
117.94.236.80
222.163.231.219
182.99.56.232
122.230.148.56
113.241.139.153
116.208.46.217
106.110.195.37
117.94.36.77
114.239.29.85
123.171.1.231
113.120.39.99
140.250.93.202
119.55.221.142
122.6.199.143
114.232.109.47
60.169.98.61
117.69.230.50
122.230.152.210
60.169.99.121
27.22.127.194
115.207.158.105
124.94.252.155
183.162.159.223
49.85.46.117
27.22.48.114
117.69.31.189
182.99.41.151
111.126.76.170
123.171.42.189
223.242.228.56
182.34.220.248
182.99.56.144
183.164.229.141
114.97.75.58
113.2.174.82
113.2.172.129
114.231.105.250
175.147.97.200
60.169.96.74
122.232.165.167
49.85.31.172
222.190.168.243
114.96.212.245
121.226.188.111
36.56.190.114
180.120.213.214
49.81.248.43
171.216.91.173
111.79.165.163
140.255.42.56
117.69.203.57
60.169.56.168
222.190.168.109
106.110.212.179
114.99.133.22
221.230.185.79
223.243.229.167
180.115.224.85
113.121.76.174
182.84.81.204
60.169.96.9
113.121.188.122
114.103.21.47
114.99.21.211
111.74.78.129
60.169.98.88
180.122.173.148
180.122.173.201
121.230.191.158
49.85.80.103
180.122.182.42
180.109.37.42
114.103.88.223
114.231.8.253
117.90.4.143
223.243.70.111
223.156.165.118
140.255.137.115
223.241.51.78
140.255.202.135
183.166.6.220
117.57.77.166
180.120.215.31
114.103.79.31
114.231.82.44
140.255.42.239
114.98.138.29
27.22.9.103
124.113.218.132
140.255.41.83
113.241.137.155
175.170.47.213
101.27.104.160
117.95.9.46
117.69.24.20
124.113.217.134
114.238.212.72
49.87.140.73
140.255.40.58
182.86.174.162
114.239.148.143
140.255.43.10
183.165.227.39
183.166.87.243
183.166.6.153
223.243.67.213
27.156.182.34
180.122.190.152
223.243.244.44
221.230.216.148
183.164.245.66
183.164.244.145
36.6.159.123
223.241.1.149
114.99.225.182
114.231.46.9
114.96.180.189
222.77.155.127
120.39.188.246
101.18.122.50
180.122.182.32
182.46.100.6
113.226.108.235
180.104.68.167
42.57.151.245
175.153.0.193
180.116.98.55
140.255.41.221
218.66.246.236
49.85.46.172



159个IP，烈马团队财大气粗。

以上IP仅是刷统计，不包括ddos和cc的IP。

若loc不允许发布此内容，请手下留情，感谢。

whrs

关于欧阳版主的脚本，宝塔面板nginx设置方法：
1.上传banip.conf文件到/www/server/nginx/conf
2.软件管理里点击Nginx的设置，点击配置修改
3.将include banip.conf;添加到include proxy.conf;下
4.重启Nginx生效

以上是放到http里，所有站点都是生效的。
放到server里自行测试，两者间我不清楚有什么区别。
已测试放到http里 包含的IP访问会显示403

欧阳逍遥

本帖最后由 欧阳逍遥 于 2021-11-12 10:19 编辑

稍等。。。 我脚本有些严，肯定有误杀的。。。 自己斟酌。 所有IP 做了 反向解析 过滤了 主流蜘蛛的IP
额 我这不是刷统计的IP 。 这是 刷 http 的IP 。  里面杂七杂八， 有扫站的 有 刷违禁词的 。
这只是 其中一台 cdn 节点 最近三天的数据。。。。  还有好几台。。。  我脚本规则比较严， 肯定有误杀的IP 。 所以 ban ip 建议 放在  http 里。  https 里 不屏蔽。  宁错杀一万 不放过一个， 自己斟酌  自己斟酌  自己斟酌

IP较多 放附件了。

食用方法：
banip.conf 放到 nginx 的 conf 目录下 lnmp 默认是 /usr/local/nginx/conf
然后修改你nginx的站点配置

server{
        你的站点配置信息 掠过

        
include banip.conf;

}






banip.zip
(26.32 KB, 下载次数: 46)

1 小时前 上传
点击文件名下载附件

davidsky2012

通过web服务器如nginx层面屏蔽其实作用很小，攻击者并不需要等待服务器响应，只需要发出带违禁词的请求即可。所以需要从iptables层面进行屏蔽才行。

hanweizhe

好的

小猫爱吃鱼

欧阳逍遥 发表于 2021-11-12 10:05

稍等。。。 我脚本有些严，肯定有误杀的。。。 自己斟酌。 所有IP 做了 反向解析 过滤了 主流蜘蛛的IP

de ...
好家伙5000多ip
?

笑花落半世琉璃

欧阳逍遥 发表于 2021-11-12 10:05

稍等。。。 我脚本有些严，肯定有误杀的。。。 自己斟酌。 所有IP 做了 反向解析 过滤了 主流蜘蛛的IP
额  ...
好家伙 这么多 版主牛批plus

欧阳逍遥

小猫爱吃鱼 发表于 2021-11-12 10:10

好家伙5000多ip
?

这只是 其中一台 cdn 节点 最近三天的数据。。。。  还有好几台。。。  我脚本规则比较严， 肯定有误杀的IP 。 所以 ban ip 建议 放在  http 里。  https 里 不屏蔽。  宁错杀一万 不放过一个

奧巴马

公然对抗组织，DNS污染安排上。

扬帆

好家伙。全屏幕都被版主霸占了。