发生甚么事了?
事件简述
就在昨天,我开发完成了两个 markdown 自定义语法,推送了更新。进入了服务器管理面板,准备在服务器上拉取一下更新。推送完成后也修改了一下 nginx 的 url rewrite 配置。将 sitemap 重定向了。
随后,我想到自己还没有设置 CDN 的真实来源 IP 获取,就先打开日志看了一下,果然,都是来自 CloudFlare CDN 节点的 IP,继续往下翻时,我看到了一堆 404, 301 地址,访问的都是一些网站上没有的 .php 文件,而且访问频率极高,像是爬虫之类的程序,UA不明,准确来说是根本没有携带吧好像。
直到我继续往下翻时,看到了 /wp-admin, /admin, /admin.php, /admin/login.php, 好了,这下彻底懂了,有人在扫描我的后台地址和 WebShell 漏洞呢。而 cloudflare 和 nginx 没有一个拦截这些请求的,好吧,似乎它们本就没有拦截的义务。(其实也可以有)
攻击描述
先放两张日志:
攻击从 09/Feb/2026:22:57:24 +0000 开始,截止 12/Feb/2026:10:28:35 +0000 我发现时还没结束,但并非持续扫描,而是间断的。一共是 31.2k 的请求,除去了正常请求1.04k,下文我会在附件放部分日志,可供观赏。现在先来看几个日志段。
# WordPress 安装向导扫描
172.71.184.234 - - [09/Feb/2026:23:20:29 +0000] "GET /wp-admin/setup-config.php HTTP/2.0" 404 3752 "-" "https://inaline.net/wp-admin/setup-config.php"
# 配置文件泄露探测
185.177.72.56 - - [10/Feb/2026:02:18:00 +0000] "GET /sessions/.env HTTP/1.1" 404 4314 "-" "curl/8.7.1"
159.223.132.86 - - [09/Feb/2026:22:57:42 +0000] "GET /config.json HTTP/1.1" 404 146 "-" "Mozilla/5.0 (l9scan/2.0.733313e2534323e2733313e25383; +https://leakix.net )"
159.223.132.86 - - [09/Feb/2026:22:57:33 +0000] "GET /.env HTTP/1.1" 404 146 "-" "Mozilla/5.0 (l9scan/2.0.733313e2534323e2733313e25383; +https://leakix.net )"
# WebShell 尝试
162.158.217.25 - - [12/Feb/2026:10:28:56 +0000] "GET /wp-admin/images/wp-conflg.php HTTP/2.0" 404 4349 "-" "-"
# 探针文件扫描
195.178.110.132 - - [10/Feb/2026:00:43:02 +0000] "GET /phpinfo.php HTTP/1.1" 404 4316 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36..."
195.178.110.132 - - [10/Feb/2026:00:43:02 +0000] "GET /test.php HTTP/1.1" 404 4313 "-" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_15_7)..."
# 疑似人工验证
51.254.204.161 - - [10/Feb/2026:00:43:19 +0000] "GET / HTTP/1.1" 200 6086 "-" "{USER_AGENT}"可见,本次的攻击者试图访问了各种后台地址,配置文件,测试文件,phpinfo,虽然此处我没有全部放出,还有些webshell文件的请求。这些请求的UA基本来自curl和一台linux设备,很有可能是自动化脚本攻击。而且大概率是 LeakIX扫描器 (l9scan/2.0)。
好在,我的网站是 Typecho 的, 而攻击者的请求大多针对了 WordPress, 因此即使已经获取到了我的后台地址,但登录尝试没有成功。
103.4.251.93 - - [09/Feb/2026:22:57:09 +0000] "GET https://inaline.net/admin/login.php HTTP/1.1" 404 548 "-" "Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/117.0.0.0 Safari/537.36"根据 UA 攻击者一开始就通过万能的admin取到了后台地址 危
不过很气,来源 IP 都是来自 Cloudflare 的,不然你可能要保护好你的父母了。
那怎么办?
发现问题后,那肯定是先截图发朋友圈说说啊。至于解决办法嘛,后面再说(不是)。
处理措施
我首先检查了数据库和文件,万幸,并没有被篡改,接下来,我就修改了后台入口到了一个及其复杂的字符串。然后设置了蜜罐,具体肯定就不能说了,毕竟这可是救命的家伙。最后将来源IP定向到请求头 CF-Connecting-IP 以记录真实 IP 地址。
在我的主题开发层面,我也进一步提高了安全性,比如访问频率限制,可疑访问重定向蜜罐,返回404等。所以说 Inaline 主题还是很好用的嘛。
至于 nginx 层面,限制了对敏感文件的直接访问。不必要的请求方法。都返回 444.设置了只允许 cloudflare ip 访问,我已经注意到一个不来自 cloudflare 的访问,很可能是 ip 地址已经暴漏的。
后来想通了:这种扫描是广撒网,不挑肥瘦。新域名刚解析就会被列入扫描队列,攻击者不在乎你内容多少,只在乎能不能挖出漏洞——当肉鸡、挂黑链、挖矿、卖洞,总有一款适合你。
一点儿碎碎念
可以说攻击者有点实力,但不多。首先就是它第一次就找到了后台地址,值得表扬,但是针对 typecho,它使用的 wordpress的脚本,关键是我就差把typecho写网站脸上了。还有就是,我的网站才两条,两天啊。文章都没几个,你这样干意义何在呢?
日志附件
以下是日志文件,仅保留了典型的攻击的部分,你可以不限速下载
评论 (3)