安全防御教程

iptables 封禁 BT/PT/SPAM(垃圾邮件)和自定义端口/关键词 一键脚本

最近也没什么教程写,我就根据大家的反馈,打算对这个脚本功能进行功能增强,但是想了想要改的地方非常多几乎是重写了,那么干脆就另立脚本重写一个好了。 注意:本脚本邮件端口是完全可以封住的,但是 BT和PT 就不是100%的了,封不干净,这个没办法。 系统要求 CentOS 6+ / Debian 6+ / Ubuntu 14.04 + 推荐 Debian 7 x64,这个是我一直使用的系统,我的脚本在这个系统上面出错率最低。 脚本版本 Ver: 1.0.6 安装步骤 执行下面的代码下载并运行脚本。 wget –N —no–check–certificate https://raw.githubusercontent.com/ToyoDAdoubi/doubi/master/ban_iptables.sh && chmod +x ban_iptables.sh && bash ban_iptables.sh 运行脚本后会出现脚本操作菜单,选择并输入对应的数字来操作。 使用说明 进入下载脚本的目录并运行脚本: ./ban_iptables.sh 然后选择你要执行的选项即可。  iptables防火墙 封禁管理脚本 [vX.X.X]   0. 查看 当前封禁列表 ———————————— 1. 封禁 BT、PT 2. 封禁 SPAM(垃圾邮件) 3. 封禁 BT、PT+SPAM […]

iptables之禁ping和ddos向外发包

主要讲2个基本的实际应用,主要涉及到禁ping(ipv4)以及禁止udp,即禁止有黑客利用服务器向外发包ddos攻击方面的内容。 一、如果没有iptables禁止ping echo 1 > /proc/sys/net/ipv4/icmp_echo_igore_all #开启 echo 0 > /proc/sys/net/ipv4/icmp_echo_igore_all #关闭 二、利用iptables规则禁ping iptables -A INPUT -p icmp –icmp-type 8 -s 0/0 -j DROP 三、利用iptables规则,禁止服务器向外发包,防止DDOS向外攻击 iptables -I OUTPUT -p udp –dport 53 -d 8.8.8.8 -j ACCEPT #允许UDP服务IP iptables -A OUTPUT -p udp -j DROP #禁止udp服务 上述53端口和8888是DNS服务必须有的,如果不清楚本机的DNS设置,可执行以下命令得到IP: cat /etc/resolv.conf

PHP各版本PHP.INI基本安全设置

大家是否常常遇到服务器被黑的情况呢今天小编为大家带来一些php.ini基本的安全设置为大家解决跨站等严重安全问题 简单设置 安全模式 #推荐还是开启防止大部分PHP攻击 safe_mode = On 用户组安全模式 #推荐还是开启防止大部分PHP攻击 safe_mode_gid = On 控制PHP能够访问的目录 #推荐还是开启防止大部分渗透 open_basedir = “${doc_root}:/tmp” 关闭危险函数 #推荐还是开启防止被人利用 disable_functions = system,passthru,exec,shell_exec,popen,phpinfo,escapeshellarg,escapeshellcmd,proc_close,proc_open,dl,show_source,get_cfg_var,disk_total_space,disk_free_space; 关闭PHP版本信息在http头中的泄漏 #推荐还是开启防止被人利用 expose_php = On 关闭注册全局变量 #推荐还是开启防止被人利用 register_globals = Off 打开magic_quotes_gpc来防止SQL注入 #推荐还是开启防止被人利用 magicw_quotes_gpc = On 复杂配置 上面只是最基本的配置,无法达到最终安全状态,但是博主花了3天优化了php5.3-7.0全部版本的php.ini文件 懒人直接替换就好 下载地址 http://wget.ca/PHP/php.ini.zip  

防止利用Wget等方式进行扒站

Wget是Linux系统常用的下载工具,也有人会利用Wget进行扒站,递归下载你的网站内容,本文介绍如何有效防止恶意使用Wget扒站。   有效防止Wget下载整站 找到你站点的Nginx配置文件地址(使用yum,apt-get安装的Nginx,通常会在/etc/nginx/conf/ 或 /usr/local/nginx/conf/) 添加以下配置: server {     listen 80;     server_name 你的域名.com www.你的域名.com;     rewrite ^(.*)$ http://你的域名.com$1permanent;     location / {     if ($http_user_agent ~* (wget|ab) ) {     return 403;     }     if ($http_user_agent ~* LWP :: Simple|Wget) {     return 403;     } } } 亦可设置成 return 444;   这样对方不会收到403错误信息,只会像网站缓慢无法链接. 保存并重启Nginx 编辑完保存后,执行 service nginx restart    重启Nginx 至此,Nginx配置防扒完成。

#资源#使用Nginx模块OpenResty来防御CC攻击

 OpenResty 是一个基于 Nginx 与 Lua 的高性能 Web 平台,其内部集成了大量精良的 Lua 库、第三方模块以及大多数的依赖项。用于方便地搭建能够处理超高并发、扩展性极高的动态 Web 应用、Web 服务和动态网关。 OpenResty 通过汇聚各种设计精良的 Nginx 模块(主要由 OpenResty 团队自主开发),从而将 Nginx 有效地变成一个强大的通用 Web 应用平台。这样,Web 开发人员和系统工程师可以使用 Lua 脚本语言调动 Nginx 支持的各种 C 以及 Lua 模块,快速构造出足以胜任 10K 乃至 1000K 以上单机并发连接的高性能 Web 应用系统。 OpenResty 的目标是让你的Web服务直接跑在 Nginx 服务内部,充分利用 Nginx 的非阻塞 I/O 模型,不仅仅对 HTTP 客户端请求,甚至于对远程后端诸如 MySQL、PostgreSQL、Memcached 以及 Redis 等都进行一致的高性能响应。 参考 组件 可以知道 OpenResty® 中包含了多少软件。 参考 上路 学习如何从最简单的 hello world 开始使用 OpenResty® 开发 HTTP 业务,或前往 下载 直接获取 OpenResty® 的源代码包开始体验。 这是本人最近在网上找到的一个不错的模块现在写个教程给大家! 流程图

Linux 一键防止DDCC攻击脚本(减少攻击)

服务器老挨打 服务器负荷一直超过10?怎么办?今天写了个脚本来帮助大家!亲自测试 服务器负荷从1.6降低到0.1 有俩个方面第一个是通过系统配置iptables来拦截打人的IP另外一个是通过cc防护防护网站前端的大人IP! 希望可以帮助大家 更新 10.3 更新IP库   程序命令 wget http://www.gigsgigscloud.com/cn/downloads/ddcc.sh && bash ddcc.sh 授权码 Gigsgigscloud.com

安装Fail2ban自动配置防 SSH 爆破

这段时间以来,服务器一直遭受着SSH暴力破解攻击,即便换了SSH端口,也会很容易被namp出来。有人建议我密钥登录,我觉得不是很方便,尤其是像我这种每天都换着手机用的人。于是和@ixh想了个这样的办法,用fail2ban来解决强行爆破SSH和WordPress后台密码的问题。 原理 Fail2ban会通过检查日志来匹配错误信息,从而使用iptables来防止暴力破解。理论上只要是能够在服务器本地输出错误日志和访问日志的程序都可以使用Fail2ban来保驾护航。 功能 一键安装部署 Fail2ban,自动配置防 SSH 爆破。可自定义 ip 封禁时间,最高重试次数。 安装 wget https://raw.githubusercontent.com/FunctionClub/Fail2ban/master/fail2ban.sh bash fail2ban.sh Welcome to Fail2ban! ——————– This Shell Script can protect your server from SSH attacks with the help of Fail2ban and iptables Do you want to change your SSH Port? [y/n]: y(你想改SSH端口吗?) Please input SSH port(Default: 22): 6666(这个随便写) Input the maximun […]