宝峰科技又被攻击，临时解决办法：禁止攻击者IP

       2020年4月9日 21点左右，在维护网站时，发现网站 500错误，过了几分钟再次偿试还是 500错误，后面又请副站长再次确认同样 500错误。因之前出现过这样的情况，后面进入服务商控制台发现内存已经100%，猜想一定是有人攻击了，接着强行停止服务器，再次运行服务器（这过程大概要10-15分钟吧），经过我们耐心而又焦虑的等待后，服务器运行起来了，查看控制台内存正常了，然后打开网站也可以正常浏览了。
        由于服务商控制台日志通常要到24点左右才可备份到FTP服务器，这样等不了，所以赶紧登陆网站后台查看运行日志，点击“工具”——“运行记录”——“系统错误”里查看日志：



发现真的有人攻击服务器，对我们这样的小型服务器而言，这样的攻击也是承受不了的，毕竟内存不高呀！





        为了防止再次被攻击，除了服务器本身的防御外，那只能临时禁止IP和IP段了，进入网站管理后台，点击“用户”——“禁止IP”后，把IP和IP段输入到“新增”的框内并设置禁止日间，为了安全设置为几年就可以，再点“提交”，IP和IP段就添加好了：



        下面我们来看看攻击者攻击内容，这里选择几条看下就好，毕竟我们没有深入的去了解，另外也没太多时间去看攻击代码：

User: uid=0; IP=1.85.2.X; RIP:X.X.X.X Request: /forum.php?action=reply&tid=1430&fid=34&mod=post$%7B%23context['xwork.MethodAccessor.denyMethodExecution']=false,%23f=%23_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),%23f.setAccessible(true),%23f.set(%23_memberAccess,true),@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('id').getInputStream())%7D.action

User: uid=0; IP=1.85.2.X; RIP:X.X.X.X Request: /forum.php?action=showdarkroom&mod=misc$%7b%23context['xwork.MethodAccessor.denyMethodExecution']=false,%23f=%23_memberAccess.getClass().getDeclaredField('allowStaticMethodAccess'),%23f.setAccessible(true),%23f.set(%23_memberAccess,true),@org.apache.commons.io.IOUtils@toString(@java.lang.Runtime@getRuntime().exec('set').getInputStream())%7d.action

        大体看了上一句代码，主要是对主题ID为1430的做什么事，我们看了这主题是友情链接申请的专帖，也不知道攻击者的用意是什么……

        这次攻击应该算初级攻击吧，因为它没有针对数据这块下手，我们这定为初级。