被CC攻击，求一个过来GET请求的正则式

house

日志里大量类似这样的GET请求，我看宝塔防火墙可以设置GET - URL 和参数 过滤，但是规则是正则式，下面的链接都有
&%20%20%20%20
怎么样过滤掉带有这个参数的请求。






[ol]

220.243.135.93 - - [18/Sep/2018:05:41:27 +0800] "GET /forum.php?%20%20%20%20action=postreview&%20%20%20%20do=support&%20%20%20%20hash=2c7d40a9&%20%20%20%20pid=5862798&%20%20%20%20tid=173971&mod=misc HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Mobile Safari/537.36"

220.243.136.93 - - [18/Sep/2018:05:41:27 +0800] "GET /home.php?%20%20%20%20ac=pm&%20%20%20%20daterange=2&%20%20%20%20handlekey=showmsg_3130&%20%20%20%20mobile=2&%20%20%20%20pmid=0&%20%20%20%20touid=3130&mod=spacecp HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Mobile Safari/537.36"

220.243.136.30 - - [18/Sep/2018:05:41:27 +0800] "GET /forum.php?extra=page=10&mobile=no&mod=viewthread&page=4&simpletype=no&tid=185066 HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Mobile Safari/537.36"

220.243.135.30 - - [18/Sep/2018:05:41:27 +0800] "GET /forum.php?%20%20%20%20action=reply&%20%20%20%20fid=187&%20%20%20%20mobile=2&%20%20%20%20page=1&%20%20%20%20reppost=6667404&%20%20%20%20tid=186520&mod=post HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Mobile Safari/537.36"

220.243.135.30 - - [18/Sep/2018:05:41:27 +0800] "GET /space-uid-238741.html HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Mobile Safari/537.36"

220.243.136.93 - - [18/Sep/2018:05:41:27 +0800] "GET /forum.php?%20%20%20%20action=postreview&%20%20%20%20do=against&%20%20%20%20hash=7f3987b7&%20%20%20%20pid=6883710&%20%20%20%20tid=201095&mod=misc HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Mobile Safari/537.36"

220.243.135.156 - - [18/Sep/2018:05:41:27 +0800] "GET /forum.php?%20%20%20%20action=postreview&%20%20%20%20do=against&%20%20%20%20hash=43e4dd33&%20%20%20%20pid=6616710&%20%20%20%20tid=185542&mod=misc HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Mobile Safari/537.36"

220.243.136.219 - - [18/Sep/2018:05:41:27 +0800] "GET /home.php?%20%20%20%20ac=pm&%20%20%20%20daterange=2&%20%20%20%20handlekey=showmsg_170386&%20%20%20%20mobile=2&%20%20%20%20pmid=0&%20%20%20%20touid=170386&mod=spacecp HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Mobile Safari/537.36"

220.243.135.30 - - [18/Sep/2018:05:41:27 +0800] "GET /forum.php?action=viewratings&infloat=yes&mobile=no&mod=misc&pid=6851345&tid=200799 HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Mobile Safari/537.36"

220.243.136.156 - - [18/Sep/2018:05:41:27 +0800] "GET /home.php?%20%20%20%20ac=pm&%20%20%20%20daterange=2&%20%20%20%20handlekey=showmsg_56229&%20%20%20%20mobile=2&%20%20%20%20pmid=0&%20%20%20%20touid=56229&mod=spacecp HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Mobile Safari/537.36"

220.243.135.93 - - [18/Sep/2018:05:41:27 +0800] "GET /forum.php?%20%20%20%20mobile=2&%20%20%20%20page=1&mod=viewthread&tid=201798 HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Mobile Safari/537.36"

220.243.135.219 - - [18/Sep/2018:05:41:27 +0800] "GET /forum.php?%20%20%20%20authorid=136560&%20%20%20%20page=1&%20%20%20%20tid=173804&mod=viewthread HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Mobile Safari/537.36"

220.243.136.156 - - [18/Sep/2018:05:41:27 +0800] "GET /forum.php?%20%20%20%20mobile=2&%20%20%20%20ordertype=1&%20%20%20%20tid=183113&mod=viewthread HTTP/1.1" 444 0 "-" "Mozilla/5.0 (Linux; Android 6.0; Nexus 5 Build/MRA58N) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/65.0.3325.181 Mobile Safari/537.36"

[/ol]复制代码

总是吵架的猪

forum.php 应该是dz论坛吧 你直接打开dz论坛自带的防止cc的功能就可以了
https://www.nigesb.com/discuz-cc-attacker-defence.html

house

总是吵架的猪 发表于 2018-9-18 05:57

forum.php 应该是dz论坛吧 你直接打开dz论坛自带的防止cc的功能就可以了
https://www.nigesb.com/discuz-cc ...
谢谢提醒，都忘记了有自带的防御了。现在暂时开启了  1和2 防御。  
不知道会不会影响正常用户的访问

另外继续求一下正则公式 ， 以备不时之需

总是吵架的猪

house 发表于 2018-9-18 06:05

谢谢提醒，都忘记了有自带的防御了。现在暂时开启了  1和2 防御。  
不知道会不会影响正常用户的访问
自带的开一段时间 记得关闭 因为默认会拦截搜索引擎
https://yq.aliyun.com/articles/44943

house

这个可能不算是CC  他有大量的IP，不断的GET请求数据。觉得还是禁止他GET的参数比较有效。