FireCoder 2018-08-19
如果一个垃圾发布机器人攻击你的 Confluence 站点,这些程序可能来自于同一个 IP 地址,或者是一个比较小范围的 IP 地址段。希望找到攻击者的 IP 地址,请参考 Apache access logs 中的实时内容同时找到这些攻击者攻击的页面。
例如,一个垃圾发布者正在创建用户,你可以在日志中查找 signup.action:
$ tail -f confluence.atlassian.com.log | grep signup.action 1.2.3.4 - - [13/Jan/2010:00:14:51 -0600] "GET /signup.action HTTP/1.1" 200 9956 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)" 37750
比较实际垃圾用户创建的内容和日志中的内容,确保你没有组织实际使用用户的访问。在默认的情况下,Apache 的日志将会在日志的第一段中记录访问者的 IP 地址。
一旦你获取到了攻击你 Confluence 站点的 IP 地址或者 IP 地址段,你可以添加这个地址或者地址段到你的防火墙黑名单中。例如,针对 Linux 的平台,使用 Shorewall 防火墙,你可以简单的运行下面的命令:
# echo "1.2.3.4" >> /etc/shorewall/blacklist # /etc/init.d/shorewall reload
希望在 Apache 级别阻止一个 IP 地址,添加这行到你 Apache 的 vhost 配置中:
Deny from 1.2.3.4
你可以在启动 Apache 的时候添加 "graceful" 命令,这个命令将会运行你重新启动 Apache 同时保持当前用户的会话。
如果你还不能组织垃圾用户的话,你可以考虑禁用允许公共用户注册。
https://www.cwiki.us/display/CONF6ZH/Preventing+and+Cleaning+Up+Spam