【已奖励300宝塔币】NGINX防火墙里显示的IP全是假IP，如

NGINX防火墙里显示的IP全是假IP，如何获取真实IP？如图，所有IP均为国外，每天超高频率扫描。

我在WP-LOGIN.PHP加了一个站长统计，有一次统计到某个IP是上海的，根据站长统计显示的时间，查看日志后，发现日志里记录的扫描IP却是另一个国外的假IP。

你使用cdn了？你的描述应该是被人使用代理搞你了。

大炮运维V587 发表于 2019-3-7 16:00
你使用cdn了？你的描述应该是被人使用代理搞你了。

我没有使用CDN，这也不是代理IP，而是伪造的IP。
另外这也不是故意搞我，很明显这是软件在扫描弱口令，而WP-LOGIN.PHP是WDPRESS的后台。这是这些人渣的第一步，确认网站程序是WP，并且后台可以访问。成功后再进行下一步弱口令扫描。否则直接退出。而我的IP刚好在他们的扫描范围内，仅此而已！
希望你们的官方团队，能找一些专业的客服，谢谢！
我的问题是：
如何获得扫描者真实的IP？这并非使用代理，而是伪造的IP，真实的IP就是国内！！
我以前没用宝塔时，如果有伪造的IP，日志里面会记录2个IP地址，一个真实IP，一个伪造IP。

我只在BT提出了2个问题，一个问题是百度蜘蛛自动加*&%5E%25$，至今无解。
这是本人的第二个问题，希望可以解决，谢谢！

对于第一个问题。百度蜘蛛的*&%5E%25$   只需要url 重写之后就ok  会重新爬取页面

第二个问题。对于代理IP 只能获取到代理IP

根据TCP/IP 协议来讲。 服务器只能接收到 代理IP

而并不能获取到真实IP

如果你要是觉得不真实，你可以用其他软件尝试一下。真获取不到真实IP

通过socket5 代理。或者其他的tcp 的代理。获取不了真实IP

对于你 没用宝塔时获取 代理IP 和真实IP 我保持质疑态度

因为根据TCP 协议来讲。你的所有流量都是通过代理IP 走的。 真实IP 的流量不会和服务器有任何交互。
所以不存在你能抓取到真实IP 的可能

对于国外IP 你可以选择禁用国外IP访问

对于你次被攻击。明显就是Wordpresscan  爆破所致。
没用什么高大上的东西。就是一个爆破账号密码的行为

这玩意都在github 开源了。

宝塔技术-小强 发表于 2019-3-8 09:23
第二个问题。对于代理IP 只能获取到代理IP

根据TCP/IP 协议来讲。 服务器只能接收到 代理IP

我说的很清楚，这不是代理IP，而是软件伪造的IP。
在没使用BT之前，我用的是ZIJIDELU控制面板，对于这类扫描，日志里会清楚的记录一个伪造的IP，和一个真实的IP！

宝塔技术-小强 发表于 2019-3-8 09:26
对于你 没用宝塔时获取 代理IP 和真实IP 我保持质疑态度

买了BT的专业版，已经没在用ZIJIDELU了，所以我无法给出证据。

1. 如果站点开了防火墙并且开了CND。X-Forwarded-For 是接受IP 的方式。
2. 如果防火墙没有开启CND  那么取的就是用户的真实IP
在没有点开启CND 的情况下。记录的IP 完全是用户真实的IP 不存在伪造IP 一说。
看如下例子：
网站开启CND 的情况下：
会是这样子的

如果没有开启CND 的情况下：


然后获取IP 的情况

已经做了一个实验了。你自己检查一下你自己的网站。是否开了CND 就行了