网易首页 > 网易号 > 正文 申请入驻

我的创业网站上线第一天,服务器就被黑客攻陷了......

0
分享至

  很多年前,我还是个编程菜鸟,有个朋友找到我,兴奋地说网络游戏太火爆了,做个游戏虚拟商品交易平台,收取佣金/手续费,肯定赚钱,现在完事具备,就差一个程序员了!

  年轻的我一听自然很激动,那还等啥,赶紧就干吧!

  花了几个月把系统开发出来,那时候云计算还不普及,专门买了服务器,在IDC机房托管,把系统部署上去,然后就美滋滋地等着收钱了。

  第二天,我登录到服务器,想从Apache访问日志中看看网站的访问情况,一看就吓了一跳,日志文件竟然有好几个G!

  我心想刚上线的网站,这么快就火了?

  仔细一看,不对,这些日志没有几个是正常的,都是在访问一些奇奇怪怪的东西,类似这样:

  GET/uploads/shell.php?cmd=cat+/etc/passwd

  我突然意识到:这是黑客攻击!

  在这方面我经验很少,立刻懵了,网站才上线一天,黑客就迅速把服务器攻占了?

  服务器上是不是已经被黑客留下来后门?

  这个服务器还能不能用?

  最后痛定思痛,解决方案是:重装系统。

  这件事我印象非常深刻:没有防火墙的Web应用,在互联网上几乎就是裸奔。

  现在再做类似的应用,必然要先上一个Web Appliaction Firewall (WAF)。

  比如说,国产的开源Web应用防火墙:雷池。

  01

  雷池是什么?

  雷池WAF是一款开源的、简单高效的Web应用防火墙,不但能有效防御各类Web攻击,还能提供访问频率限制、人机验证、动态防护等功能。

  它的原理很简单:以反向代理方式接入,优先于网站服务器接收流量,对流量中的攻击行为进行检测和清洗,将清洗过后的流量转发给网站服务器。

  雷池全球装机量超40万台,日均处理300亿次请求,检出率76.17%,误报率仅0.22%。

  02

  安装便捷,使用简单

  雷池有一些软硬件的依赖,例如需要Linux操作系统,Docker 20.10.14版本以上,x86_64架构支持ssse3等,很容易满足,具体详情可以看官方文档。

  然后就可以一键安装,等几分钟就好。

  bash -c"$(curl -fsSLk https://waf-ce.chaitin.cn/release/latest/manager.sh)"

  安装成功以后,就可以打开浏览器访问雷池控制台了

  https:// :9443/

  03

  强悍的防护能力

  作为Web应用防火墙,雷池防护Web攻击自然不在话下,常见的SQL注入攻击、XSS攻击、路径穿越攻击、代码注入攻击等都能轻松应对。

  这些Web攻击大家应该都很熟悉了,不再展开介绍。雷池的准确率、检出率都非常高,误报率,漏报率非常低,性能指标优于全球的一些知名产品:

  这么强悍的能力,一个重要原因就是雷池采用了语义分析算法。

  传统的防火墙使用的是正则表达式匹配的方式,例如它会用这个表达式union[\w\s]*?select去检查流量数据,如果发现包含 union 和 select 这两个单词,就会被认为是SQL 注入攻击。

  但是这种方式,不但可能会误报,黑客也可以轻松绕过,他可以可以用注释、空白、换行、分隔符、拼接或编码把关键字“拆开”而不影响执行。

  例如只要在在 union 和 select 中间插入了注释字符:union /**/ select

  这样破坏了关键字的特征,传统防火墙就检测不出来了。

  而雷池的语义分析就不一样了,它并不是仅仅看字符或正则,而是理解请求意图和结构。

  它内置了多种编程语言的编译器,对HTTP数据进行解码后,根据不同的语言(SQL,HTML/JS,命令行)找到不同的语法编译器,然后判断该数据是否会构成攻击。

  很明显,这种方式深入了语义,精确理解了用户输入的数据,防护效果肯定有质的提升。

  04

  Bot防护

  Web应用最大的特点就是:代码(JS+HTML+CSS)会被发到用户的浏览器端执行,一览无余,一点儿“隐私”都没有。

  这对于爬虫、漏洞扫描、自动化攻击等行为提供了“温床”,针对这一点,雷池提供了动态防护的功能,可以对HTML,JS等代码进行动态加密,保证每一次访问时代码都能以不同的、随机的形态呈现,这就让爬虫和攻击者难以“理解”网站内容,大大增加了攻击者的难度。

  比如这个JavaScript:

  被雷池进行动态加密以后变成了这个样子,很难辨认了。

  除此之外,雷池防火墙还能主动进行“人机验证”:

  通过检测客户端的行为,比如鼠标键盘行为是否符合人类习惯,从而判断它是真人在使用,还是被自动化程序控制。

  如果是真人自然放行,否则就会把它“踢”出去。

  05

  CC防护

  对Web服务器有一类非常“恶心”的攻击叫做“CC 攻击”(Challenge Collapsar 攻击),是一种分布式拒绝攻击的一种。

  攻击者会控制大量肉鸡(被感染的电脑)或代理服务器,伪装成正常浏览器访问网站,如不断访问首页、搜索页、接口等。每个请求看起来都合法(有正常的 User-Agent、Referer、Cookie),但数量极其巨大。

  最终让服务器过载,网页卡死、数据库阻塞或服务崩溃。

  由于请求看起来都合法,这种攻击非常难以防御。

  针对这种情况,雷池防火墙提供了“频率限制”的功能,如果某个 IP 在短时间内发起大量 HTTP 请求,就阻断该 IP 后续的所有访问,要求它通过人机验证,确保是真人才行。

  还有不少应用存在高峰流量的情况,比如抢票,热点事件等,如果不进行限流,服务很容易被海量的请求冲垮,谁也用不了。

  当然程序员可以写代码,深入到网站内部去实现限流功能,但是很麻烦,使用雷池的“等待室”功能,根本不用对应用做任何改变就可以实现限流。

  这里配置的在线用户是超过了100人就需要进入等待室等候了,而进入应用的用户,如果超过3分钟在网页上没有操作,对不起,那就去等候室重新排队吧。

  06

  身份认证

  第一次看到这个功能可能会觉得奇怪,身份认证不是应用程序自己应该实现的吗?防火墙为什么要来掺和?

  其实,很多旧系统、内网系统的认证是很弱的,甚至是没有的。

  比如你开发了一个MQ的监控工具,部署到了服务器上,就是给内部的小团队使用,这时候再从头把身份认证搞起来是很麻烦的。

  但是没有身份认证的Web网站,将会给服务器安全带来巨大的安全隐患,黑客很容易从这个“城墙缺口”进入。

  这时候雷池的“身份认证”就可以上场了:

  只需要在被保护的应用中简单地设置一下,配置一下用户账号,你的应用瞬间就拥有了身份认证的能力,非常方便。

  07

  总结

  回想当年那个网站,如果有雷池这样的WAF帮我镇守,肯定不会被黑掉了。

  如果你也有Web网站要上线,务必要把安全防护做好,强烈建议考虑下雷池这个非常优秀的开源的WAF,它的语义分析算法(深度解码HTTP载荷)、Bot防护(人机验证、动态防护、防重放)、CC防护(频率限制、等候室)、身份认证等功能,会让你的网站高枕无忧。

特别声明:以上内容(如有图片或视频亦包括在内)为自媒体平台“网易号”用户上传并发布,本平台仅提供信息存储服务。

Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.

相关推荐
热点推荐
消费者投诉“从抽纸开出成千上万只活蚂蚁”,清风回应

消费者投诉“从抽纸开出成千上万只活蚂蚁”,清风回应

南方都市报
2026-07-17 23:24:10
76比66登顶夺冠!女篮又夺一世界冠军:中国队终于再硬气一回了!

76比66登顶夺冠!女篮又夺一世界冠军:中国队终于再硬气一回了!

篮球快餐车
2026-06-22 15:04:19
金价暴跌,金店门又被挤爆了!这次抢黄金的大妈,和十年前不太一样

金价暴跌,金店门又被挤爆了!这次抢黄金的大妈,和十年前不太一样

牛锅巴小钒
2026-07-17 13:44:50
蹊跷!国民党邀马英九出席全代会遭婉拒 蓝营多名大佬也将缺席!

蹊跷!国民党邀马英九出席全代会遭婉拒 蓝营多名大佬也将缺席!

一口娱乐
2026-07-17 11:02:59
迪马利亚:他是打进困难进球的人还有为每个人自己的梦想而战

迪马利亚:他是打进困难进球的人还有为每个人自己的梦想而战

懂球帝
2026-07-17 21:07:08
难怪周星驰新片破8亿被骂,陪睡陪玩仅冰山一角,热巴早就遭殃了

难怪周星驰新片破8亿被骂,陪睡陪玩仅冰山一角,热巴早就遭殃了

星星没有你亮
2026-07-17 08:17:06
韩红跌落神坛真相曝光,连环翻车全靠拼凑,别让流量毁了真公益

韩红跌落神坛真相曝光,连环翻车全靠拼凑,别让流量毁了真公益

陈意小可爱
2026-07-18 05:40:55
爆料39岁梅西退役规划:身家75亿“宅男”,欲带家人隐居静谧小镇

爆料39岁梅西退役规划:身家75亿“宅男”,欲带家人隐居静谧小镇

情感大头说说
2026-07-17 00:48:34
汪小菲带女儿吃法餐,12岁玥儿难得露正脸,穿衬衫后更像大S了!

汪小菲带女儿吃法餐,12岁玥儿难得露正脸,穿衬衫后更像大S了!

娱乐团长
2026-07-16 10:05:51
姆巴佩8年换5绝美女友,世界杯届届换新欢,球迷都狂求榨干他!

姆巴佩8年换5绝美女友,世界杯届届换新欢,球迷都狂求榨干他!

疯狂的豆芽
2026-07-15 20:07:42
不打垮中国不罢休?内鬼身份曝光让人意想不到!还好结局大快人心

不打垮中国不罢休?内鬼身份曝光让人意想不到!还好结局大快人心

阿策聊实事
2026-07-04 04:37:57
中国女篮告别世界杯!揪出头号罪人:沃列特连过三人送中国国家

中国女篮告别世界杯!揪出头号罪人:沃列特连过三人送中国国家

小彭美识
2026-07-18 02:07:31
女儿非要和我睡,老公只好去客房凑合,凌晨2点我出来喝水,却听到他打电话:再等等,过完这个年,我就摊牌...

女儿非要和我睡,老公只好去客房凑合,凌晨2点我出来喝水,却听到他打电话:再等等,过完这个年,我就摊牌...

二胡的岁月如歌
2026-07-16 20:43:41
体坛丑闻!中国花样游泳奥运金牌教练贺晓初落马,劣迹恶行大曝光

体坛丑闻!中国花样游泳奥运金牌教练贺晓初落马,劣迹恶行大曝光

明天后天大后天
2026-07-18 01:30:50
《八仙!》点映看完手抖着出影院,这片子专治各种不服

《八仙!》点映看完手抖着出影院,这片子专治各种不服

情感大头说说
2026-07-17 10:40:43
阿根廷7场狂轰19球!世界杯21世纪新高,96年仅次于四队

阿根廷7场狂轰19球!世界杯21世纪新高,96年仅次于四队

奥拜尔
2026-07-17 17:25:34
“男友凭什么不陪我读大专”,江西女孩哭诉,网友:别祸害人了!

“男友凭什么不陪我读大专”,江西女孩哭诉,网友:别祸害人了!

世界圈
2026-07-15 10:12:43
贵州省管干部1800余人。4年不到抓了360个

贵州省管干部1800余人。4年不到抓了360个

黔有虎
2026-07-17 23:09:56
阿根廷vs西班牙!世界杯决赛创纪录:无论哪个夺冠剧本,全是历史

阿根廷vs西班牙!世界杯决赛创纪录:无论哪个夺冠剧本,全是历史

侃球熊弟
2026-07-18 06:20:03
在江苏,最不能相信的一句话就是“我们家不补课”

在江苏,最不能相信的一句话就是“我们家不补课”

锡望
2026-07-16 13:42:07
2026-07-18 06:56:49
码农翻身 incentive-icons
码农翻身
有趣且硬核的技术文章
287文章数 663关注度
往期回顾 全部

科技要闻

WAIC2026看什么?这份"不迷路"攻略请收好

头条要闻

重庆山体崩塌致8死34人失联 前后对比图披露

头条要闻

重庆山体崩塌致8死34人失联 前后对比图披露

体育要闻

30亿欧对决,世界杯季军战毫无意义?

娱乐要闻

曲婉婷自爆患癌!全网喊“苍天绕过谁”

财经要闻

梁文锋不需要天才

汽车要闻

把中国超跑卖到英国,比亚迪正在被世界看见

态度原创

房产
本地
亲子
公开课
军事航空

房产要闻

炸场!十五五定调黄埔!科学城真正的红利赢家,藏不住了

本地新闻

十年了,为什么鬼怪CP还能让人美美嗑上?

亲子要闻

原来我们小时候玩的丢沙包、跳皮筋换个名字叫手眼协调、平衡训练,一节课158?

公开课

李玫瑾:为什么性格比能力更重要?

军事要闻

伊朗议长:这是一场“生存之战”

无障碍浏览 进入关怀版