利用TRAE Work分析百度云防护日志解决客户被CC攻击 爬虫的日常

就在刚刚,一位站长联系上主机吧,反馈网站服务器被抓爆了。

利用TRAE Work分析百度云防护日志解决客户被CC攻击 爬虫的日常

主机吧果断开启百度云防护的日志,然后等5分钟后下载这5分钟该客户网站产生的所有请求数据,然后上传至TRAE Work分析。

利用TRAE Work分析百度云防护日志解决客户被CC攻击 爬虫的日常

日志分析结果 —

概况: 9,861 次请求,5,269 个独立 IP,72.6 MB 总带宽。66.2% 返回 403(被 WAF 拦截),攻击量非常大。


一、恶意请求类型

1. 分布式扫描/攻击(占 76.8%,最严重)

一个指纹统治了整个日志:

指标
请求量7,579 次(76.8%)
涉及 IP4,863 个(占全部 IP 的 92%)
被 WAF 拦截6,341 次(84%)
使用 UA 种类143 种(不断轮换伪装)

特征:4,863 个不同 IP 共享同一个 JA3/JA4 指纹,但使用 143 种不同 UA — 这是典型的分布式代理池/僵尸网络攻击。 目标 URI 为 /webmsg/*.html(如 /webmsg/59.html/webmsg/30.html 等),看起来在对站点的消息页面进行扫描或采集。

2. WordPress Pingback 滥用

指标
请求量793 次(792 + 1)
IP47.115.35.xx(深圳阿里云)
目标/zixun/wp-json/custom/v1/posts 和空 UA 请求
UAWordPress/6.5.8;

这是 WordPress REST API 的自动化调用/采集,793 次请求全未被拦截。

3. wp-cron.php 被频繁触发

/zixun/wp-cron.php 被 135 次请求,可能被外部恶意触发造成源站负担。

4. 图片资源爬取

IP请求带宽UA 特征
113.15.162.6231115.2 MB单一 UA(Chrome)
113.69.253.1551093.3 MB单一 UA
2409:8a3c:...ff0e691.9 MB单一 UA(Android)

aifu360.com47.97.220.93 类似的图片采集行为。


二、恶意请求的 JA3/JA4 指纹

核心攻击指纹(分布式僵尸网络)

类型JA3JA4
主攻击指纹47f56493e551459ad91fdee8f61435f3t13d1812h1_85036bcba153_b26ce05bbdd6
请求量7,5797,579
IP 数4,8634,863
拦截率84%84%
UA 种类143 种(伪装)143 种(伪装)

这个指纹占了整个日志的 76.8%,是绝对的主要攻击来源。

其他恶意指纹

JA3JA4请求IP拦截率特征
6f0d86606b7ca191fbd2c072e4f99f9ft13d451100_d524c25c267f_fa269c3d986d1414100%YisouSpider(14 个 IP)
944d1e1858cd278718f8a46b65d3212ft13d521100_b262b3658495_8e6e362c5eac1010100%YisouSpider 伪装 iPhone
06873b563b993c62a40abbbdb28d2f21t13d1713h1_ab0a1bf427ad_ecd0401ec68b181894%Chrome 老版本指纹(18 个 IP)
8bee49baa010986785a9e74d688ed7e9t13d131000_f57a46bbacb6_e7c285222651928762%旧版 Chrome/Android 指纹

WordPress 爬虫指纹

JA3JA4请求IP
5354183c5c43b8cd5bb66e72af4c4967t00d8007h1_9cedc1f1428b_c23d14b1cf7579247.115.35.xx

三、拦截建议

  1. 在 WAF 中添加 JA3/JA4 指纹封禁规则 — 优先封禁:
  • JA3: 47f56493e551459ad91fdee8f61435f3 / JA4: t13d1812h1_85036bcba153_b26ce05bbdd6(可拦截 84% 的恶意请求,但因为已经在 custom 规则中了所以效果可能有限)
  • JA3: 6f0d86606b7ca191fbd2c072e4f99f9f(YisouSpider,100% 拦截)
  • JA3: 06873b563b993c62a40abbbdb28d2f21(94% 拦截)
  1. 封禁 47.115.35.XX — WordPress REST API 滥用,793 次请求全部穿透
  2. 封禁图片爬虫 IP113.15.162.62113.69.253.155
  3. 禁用或限制 wp-cron.php — 在 Nginx/Apache 层面禁止外部访问 wp-cron.php,改为系统 Cron 触发
  4. 限制 wp-json API 频率 — 对 /zixun/wp-json/* 路径添加单 IP 频率限制

让客户直接自定义拦截ja3指纹47f56493e551459ad91fdee8f61435f3再观察。

利用TRAE Work分析百度云防护日志解决客户被CC攻击 爬虫的日常

拦截效果:

利用TRAE Work分析百度云防护日志解决客户被CC攻击 爬虫的日常

客户反馈恢复

利用TRAE Work分析百度云防护日志解决客户被CC攻击 爬虫的日常

相比以前苦哈哈的下载日志,然后人工查看,现在使用AI分析日志已经是主流了,效果非常好,目前几乎所有的AI主机吧都有测过AI分析日志,其中做得最好的是kimi和minimax,不过这两个都有上传日志限制,主机吧也用本地AI软件work buddy和QQ龙虾做过分析 但总体来说效果不是很好,直到最近用了TRAE Work,不仅可以上传大文件分析,响应速度还非常快,分析得也非常准,非常值得推荐!

另外有需要网站爬虫拦截、CC攻击防护的可以了解下百度云防护:https://www.zhujib.com/shop/26864.html

给TA打赏
共{{data.count}}人
人已打赏
0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
在线客服
在线客服
热线电话
QQ客服
电子邮箱
suduwangluo