昨天網站開始大量收到一組來自中國 IP 的請求,請求時間都很短,實屬惡意爬蟲的砍站行為。 收到警示通知後就把那整組 IP 丟給 Cloudflare WAF 防火牆功能給設定封鎖。 直到今天都還在很努力地爬,完全沒發現自己已經被封鎖了。 更多類似的資安防護操作筆記可以參考: [Fail2ban] 同 …
標籤彙整: 資訊安全
[HAProxy] 搭配 Fail2ban 封鎖惡意請求的 WordPress 網站安全性設定
前面文章提到使用 HAProxy 處理高負載網站 [HAProxy] 建立 WordPress 負載平衡 Load balancing 架構筆記,這套服務會將請求轉發給後面的主機來處理請求,安全性部分要顧慮的也會更多。 續前篇,把原本伺服器架構拆成兩台,而後面這兩台拿到請求的 IP 沒解析過的話又只 …
[資安通報] 盡快移除網站中的「站長工具 TWCOUNT 網站流量統計」工具
今天收到委託,表示他的網站只有在「手機版」時會「被跳轉一次」到垃圾網站! 聽著就覺得很有意思,趕快來查查~ 結果怎麼試還真的就很難再次觸發條件,判斷這是網站上安插的外部 Script 有問題。要檢測的話需要個別撤除來除錯,跟委託人表示過這個可能後,他馬上就找到一個可能的資源: TWCOUNT 站長工 …
[Linux] 建立安全的 MySQL 資料庫連線環境方法
MySQL 是著名的資料庫系統,建立他的方法網路上很多,Google 當前 VPS 作業系統與 MySQL 關鍵字都可以找到教學文章。本篇是筆記建立後的環境設定! 操作分兩部分,一個是 my.cnf 的網路設定與機器裡的防火牆設定。 MySQL 服務可以純粹開在「本機(localhost)」端,這樣 …
[WordPress] v5.2.0 後主題外掛下載驗證檔案機制
剛剛本機測試站更新時,點開細節看到這段「由於找不到簽章,因此無法驗證 woocommerce.3.9.1.zip 的真實性。」,突然好奇到底是我太久沒注意,還是最近才更新的功能!? 這段程式寫在 wp-admin/includes/file.php 裡的 download_url 方法。 而驗證檔案 …
[VPS] PHP 網站資訊安全之 .user.ini 檔案與 open_basedir 參數
網站能不能保證不會被 Hack ?這點實在是很難。 但是網站被 Hack 的有限,卻是很基本的設定,而很多人可能不知道。 PHP 5.3 版之後加入了一個「以資料夾為設定單位基礎的設定方式」叫做 .user.ini (預設檔案名稱) 這個檔案可以為這個資料夾下的 PHP 程式檔案圈出一個「執行範圍( …
[資安] 黑白箱測試工具
承上篇,筆記一下針對有高規格資安審查條件的案件,可以採用的測試工具。 白箱是指原始碼的掃描,由內部直接對原始碼進行掃描尋找漏洞。黑箱則是從使用面向做各種滲透測試。 好野人高級版: 白箱工具:Checkmarx 黑箱工具:HP WebInspect 自立自強縫中求生版: 白箱工具:OWASP Sona …