【待反馈】被刷POST，nginx付费防火墙检测不到，设置URL黑...

每天都一直被POST请求一个不存在的php文件，拉黑IP后会换IP继续请求，没点办法吗？

谢花郎 · 发表于 2023-1-28 20:00:24

您好，IP请求过来的还有无其他特征？如UA头、如果有UA头可以尝试直接禁止UA访问。

宝塔用户_aetvcp · 发表于 2023-1-28 20:09:46

谢花郎发表于 2023-1-28 20:00
您好，IP请求过来的还有无其他特征？如UA头、如果有UA头可以尝试直接禁止UA访问。 ...

UA是很普通的UA，单纯只是发空的POST请求，我在防火墙里也设置了进制请求u这个目录，禁止/u/k.php这个路径，他还是能刷

谢花郎 · 发表于 2023-1-28 20:56:56

宝塔用户_aetvcp 发表于 2023-1-28 20:09
UA是很普通的UA，单纯只是发空的POST请求，我在防火墙里也设置了进制请求u这个目录，禁止/u/k.php这个路 ...

它这个是代理IP吧，是禁止后它会换其他IP吗。可以尝试把CC规则阈值调低。
再者可临时开启一个增强模式，使用滑动验证或者人机验证模式。

其次则是通过其他脚本去判断一个IP访问次数，然后手动去添加到系统防火墙设置禁止IP访问

宝塔用户_aetvcp · 发表于 2023-1-28 21:32:13

谢花郎发表于 2023-1-28 20:56
它这个是代理IP吧，是禁止后它会换其他IP吗。可以尝试把CC规则阈值调低。
再者可临时开启一个增强模式， ...

没有那种访问指定目录或URL直接拉黑的模式吗，他只管请求，不会管是否成功，只会一直请求。

谢花郎 · 发表于 2023-1-28 21:35:07

宝塔用户_aetvcp 发表于 2023-1-28 21:32
没有那种访问指定目录或URL直接拉黑的模式吗，他只管请求，不会管是否成功，只会一直请求。 ...

全局设置内的URL黑名单，但是不能禁止IP访问。URL黑名单设置状态为503或者502这些都是会请求到服务器内的。

宝塔用户_aetvcp · 发表于 2023-1-28 23:55:41

谢花郎发表于 2023-1-28 21:35
全局设置内的URL黑名单，但是不能禁止IP访问。URL黑名单设置状态为503或者502这些都是会请求到服务器内的 ...

不能像CC或者注入之类的检测到指定的请求拉黑吗，他只针对IP地址访问，而IP地址会被指向默认站点，宝塔又不能关闭默认站点访问。

大炮运维V587 · 发表于 2023-1-29 09:42:48

宝塔用户_aetvcp 发表于 2023-1-28 23:55
不能像CC或者注入之类的检测到指定的请求拉黑吗，他只针对IP地址访问，而IP地址会被指向默认站点，宝塔又 ...

您好，您扫码联系下客服，转到大炮这里，我看下是什么问题