Jorgee Vulnerability Scanner

最近有個全球性的網站攻擊很擾人啊。下圖就是被攻擊的結果。其實沒有裝phpmyadmin我也不怕它request.
但它會佔用頻寬啊。會導致網站服務短暫失效，而且似乎是全球性的攻擊，查了一下手上有的伺服器，9成在log中都找得到攻擊的痕跡。

但很麻煩的是它是針對80埠做請求，又不是什麼系統漏洞，所以你只能用看得到的特徵去防止它。

但尤於它特徵實在太明顯。所以就直接在防火牆上動一下手腳啦。

sudo iptables -A INPUT -m string --algo bm --string "Mozilla/5.0 Jorgee" -j DROP

但後來看一下又覺得應該關掉server回應純IP 的request, 於是我又在 nginx config裡加上下面的設定

## Block common/malicious user agents ##
if ($http_user_agent ~* LWP::Simple|BBBike|wget|jorgee) {
    return 444;
}

這樣可以確保server不會再回應。（雖然理論上防火牆應該是要擋掉啦）

參考資訊

• Http status code 444
• https://info.juliusgoh.life/?p=281