我站再次受到扫描攻击的公告

一周前被人不停的刷流量，见《我站近期遭受到恶意不友好访问攻击公告》这篇博文，今天，各个监控在凌晨4点多开始通过APP、钉钉、邮件、短信嗷嗷的报警通知，又受到了一次扫描，不过好在经历过上次被刷流量的事件，我已经有准备好的预防措施了，几乎没有任何损失。

访客信息

• IPv4:34.75.62.181
• 定位：美国南卡罗来纳州蒙克斯科纳
• 线路：Google Cloud 机房

事件复盘

• 2022-05-10 04:38:24 第一次通过 Python 访问了我站首页，五秒后开始扫描
• 2022-05-10 04:38:29 开始扫描全站页面，UA 为随机产生的，请求几乎遍布全部页面、接口、CSS、图片等静态文件都不放过
• 2022-05-10 05:48:14 请求开始带有渗透攻击性，传参的位置开始出现 ../../ 等内容，探测配置文件路径
• 2022-05-10 07:07:35 WAF开启严格模式策略，请求开始放缓
• 2022-05-10 07:37:05 扫描攻击停止或对方完成了扫描计划

总结

这次扫描应该和上次扫描没有联系，这次扫描要比上一次专业的多，扫描了全站的页面，UA 也是随机动态的，还对参数接口进行了渗透尝试，但愿是偶尔事件。

扫描内容中我还看到尝试访问 /.svn/ 的目录，说明是一个扫描工具在乱猜路径。

由于有上次被刷的经验，提前接入了WAF，并未对我产生什么危害，只是在开启严格检测策略的时候全站都会变慢，部分接口会被误拦截。