从上个月中旬某天开始,网站突然变慢和卡顿,打开宝塔面板一看,CPU和负载100%,我觉得不正常,下面说 说的我的解决办法。
一、首先向阿里云提交工单,个人认为是宿主主机的问题,阿里云认为不是,让我自行检查程序,失败!
二、把系统重新安装,删除所有的网站代码,重新安装新的模板,以为这下问题解决了,哈哈,还是我太幼稚,不到10分钟,CPU又嗖嗖的上来了,继续卡死,失败!!
三、到处搜索资料,由于使用的经济型ECS,大家都懂性能也就这样,要不,还是调整一下PHP性能设置参数,失败,换PHP版本,失败!换nagix ,还是失败
四、牙一咬,买了CDN,上去还是依旧。再牙一咬,买了台新的ECS,到目前为止,问题基本解决,至少网站都能够访问了,虽然还是慢了点。不过我还是不明白,过去一台经济型的ECS,跑三个网站都绰绰有余,现在每台放一个,勉强能够访问,还是算失败。
五、分析网站访问日志,发现39.96.130.*这个IP段频繁的访问网站,好像是扫描,前100IP竟然每个IP每天达到25万的访问量,吓死我了,问题其实也在这里。这个IP段,诸位去看,是阿里云的,而且还是web防火墙的回源IP,很具有迷惑性。其实我前期也发现过这个问题,好了,我再来,直接在阿里云的安全组禁止39.96.130.*这个IP段的所有访问,这样添加的39.96.130.0/24,这下好了,网站全部显示502错误了,我晕了,只有又放行。再次失败!
六、终于要来解决问题了,诸位久等了。哈哈,我记得我过去买了个web防火墙基础版(现在已经没有这个版出售了)。找到“网站防护”-->访问控制限流,首先打开“扫描工具封禁”和协同防御,然后在IP黑名单中输入所有要禁止访问的IP,包括39.96.130.0/24。哈哈,立马见效,立马见效,恢复到一个月前的速度和资源使用了。诸位,有类似防火墙的话,记得加入黑名单即可。
屏蔽IP地址的规则
某个 IP 地址:192.168.0.100
IP 地址段:192.168.0.100-192.168.0.200(100-200 之间的全部 1P 地址)。
192.168.0.0/24(屏蔽 192.168.0 开头的全部 IP 地址)
192.168.0.0/16(屏蔽 192.168 开头的全部 IP 地址)
192.168.0.0/8(屏蔽 192 开头的全部 IP 地址,慎用!)
七、终极解决办法。同归于尽,好坏通杀。在阿里云防火墙开启“防护-紧急”选项,这玩意一开,我看每秒几千次的流量嗖的消失了,哈哈哈。
八、开了第七之后误杀造成打开某些网页很悲哀,哈哈,经过分析,这次CC攻击,会自动在网页的后面给加上doc\xls\ppt之类的后缀,经过这么一看,在阿里云的web防火墙中找到你要防护的域名,然后切换到“访问控制/限流”------->CC安全防护------->自定义防护策略--->在匹配条件中选择 “匹配条件”(包含,内容填写上xls,连续三条规则),哈哈,一下整个世界清净了。