就在刚刚,一位站长联系上主机吧,反馈网站服务器被抓爆了。

主机吧果断开启百度云防护的日志,然后等5分钟后下载这5分钟该客户网站产生的所有请求数据,然后上传至TRAE Work分析。

日志分析结果 —
概况: 9,861 次请求,5,269 个独立 IP,72.6 MB 总带宽。66.2% 返回 403(被 WAF 拦截),攻击量非常大。
一、恶意请求类型
1. 分布式扫描/攻击(占 76.8%,最严重)
一个指纹统治了整个日志:
| 指标 | 值 |
|---|---|
| 请求量 | 7,579 次(76.8%) |
| 涉及 IP | 4,863 个(占全部 IP 的 92%) |
| 被 WAF 拦截 | 6,341 次(84%) |
| 使用 UA 种类 | 143 种(不断轮换伪装) |
特征:4,863 个不同 IP 共享同一个 JA3/JA4 指纹,但使用 143 种不同 UA — 这是典型的分布式代理池/僵尸网络攻击。 目标 URI 为 /webmsg/*.html(如 /webmsg/59.html、/webmsg/30.html 等),看起来在对站点的消息页面进行扫描或采集。
2. WordPress Pingback 滥用
| 指标 | 值 |
|---|---|
| 请求量 | 793 次(792 + 1) |
| IP | 47.115.35.xx(深圳阿里云) |
| 目标 | /zixun/wp-json/custom/v1/posts 和空 UA 请求 |
| UA | WordPress/6.5.8; |
这是 WordPress REST API 的自动化调用/采集,793 次请求全未被拦截。
3. wp-cron.php 被频繁触发
/zixun/wp-cron.php 被 135 次请求,可能被外部恶意触发造成源站负担。
4. 图片资源爬取
| IP | 请求 | 带宽 | UA 特征 |
|---|---|---|---|
113.15.162.62 | 311 | 15.2 MB | 单一 UA(Chrome) |
113.69.253.155 | 109 | 3.3 MB | 单一 UA |
2409:8a3c:...ff0e | 69 | 1.9 MB | 单一 UA(Android) |
与 aifu360.com 的 47.97.220.93 类似的图片采集行为。
二、恶意请求的 JA3/JA4 指纹
核心攻击指纹(分布式僵尸网络)
| 类型 | JA3 | JA4 |
|---|---|---|
| 主攻击指纹 | 47f56493e551459ad91fdee8f61435f3 | t13d1812h1_85036bcba153_b26ce05bbdd6 |
| 请求量 | 7,579 | 7,579 |
| IP 数 | 4,863 | 4,863 |
| 拦截率 | 84% | 84% |
| UA 种类 | 143 种(伪装) | 143 种(伪装) |
这个指纹占了整个日志的 76.8%,是绝对的主要攻击来源。
其他恶意指纹
| JA3 | JA4 | 请求 | IP | 拦截率 | 特征 |
|---|---|---|---|---|---|
6f0d86606b7ca191fbd2c072e4f99f9f | t13d451100_d524c25c267f_fa269c3d986d | 14 | 14 | 100% | YisouSpider(14 个 IP) |
944d1e1858cd278718f8a46b65d3212f | t13d521100_b262b3658495_8e6e362c5eac | 10 | 10 | 100% | YisouSpider 伪装 iPhone |
06873b563b993c62a40abbbdb28d2f21 | t13d1713h1_ab0a1bf427ad_ecd0401ec68b | 18 | 18 | 94% | Chrome 老版本指纹(18 个 IP) |
8bee49baa010986785a9e74d688ed7e9 | t13d131000_f57a46bbacb6_e7c285222651 | 92 | 87 | 62% | 旧版 Chrome/Android 指纹 |
WordPress 爬虫指纹
| JA3 | JA4 | 请求 | IP |
|---|---|---|---|
5354183c5c43b8cd5bb66e72af4c4967 | t00d8007h1_9cedc1f1428b_c23d14b1cf75 | 792 | 47.115.35.xx |
三、拦截建议
- 在 WAF 中添加 JA3/JA4 指纹封禁规则 — 优先封禁:
- JA3:
47f56493e551459ad91fdee8f61435f3/ JA4:t13d1812h1_85036bcba153_b26ce05bbdd6(可拦截 84% 的恶意请求,但因为已经在 custom 规则中了所以效果可能有限) - JA3:
6f0d86606b7ca191fbd2c072e4f99f9f(YisouSpider,100% 拦截) - JA3:
06873b563b993c62a40abbbdb28d2f21(94% 拦截)
- 封禁
47.115.35.XX — WordPress REST API 滥用,793 次请求全部穿透 - 封禁图片爬虫 IP:
113.15.162.62、113.69.253.155 - 禁用或限制
wp-cron.php— 在 Nginx/Apache 层面禁止外部访问wp-cron.php,改为系统 Cron 触发 - 限制
wp-jsonAPI 频率 — 对/zixun/wp-json/*路径添加单 IP 频率限制
让客户直接自定义拦截ja3指纹47f56493e551459ad91fdee8f61435f3再观察。

拦截效果:

客户反馈恢复!

相比以前苦哈哈的下载日志,然后人工查看,现在使用AI分析日志已经是主流了,效果非常好,目前几乎所有的AI主机吧都有测过AI分析日志,其中做得最好的是kimi和minimax,不过这两个都有上传日志限制,主机吧也用本地AI软件work buddy和QQ龙虾做过分析 但总体来说效果不是很好,直到最近用了TRAE Work,不仅可以上传大文件分析,响应速度还非常快,分析得也非常准,非常值得推荐!
另外有需要网站爬虫拦截、CC攻击防护的可以了解下百度云防护:https://www.zhujib.com/shop/26864.html
