《宝塔 UA 黑名单设置全攻略》

UA 黑名单是宝塔防火墙中的一项重要功能，主要用于拦截恶意蜘蛛 UA 和一些不良的用户代理。在初始化阶段，UA 黑名单对应的是 User-Agent 黑名单。
宝塔防火墙的各类黑白名单简介中明确指出，UA 黑名单在初始化阶段等同于 User-Agent 黑名单。UA 黑名单最常用的功能就是拦截爬虫，对于不想被爬虫爬取的网站，可以将爬虫的关键词加入 UA 黑名单进行拦截，且不会写拦截日志。
例如在一些实际应用场景中，我们可以通过将特定的关键词加入 UA 黑名单来拦截恶意蜘蛛 UA。像一些采集数据的机器人，如 MJ12bot、AhrefsBot、serpstatbot、DataForSeoBot、SNAPSHOTGPTBot、Go-http-client、python-requests 等，可以将它们的关键词加入 UA 黑名单进行拦截。
同时，我们还可以根据实际情况，分析指定 UA 然后进行屏蔽。比如进入宝塔面板，文件管理进入 /www/server/nginx/conf 目录，新建空白文件 kill_bot.conf，将一些禁止垃圾搜索引擎蜘蛛抓取和扫描工具的代码保存到该文件中，然后在宝塔 -【网站】-【设置】点击左侧【配置文件】选项卡，在特定位置插入代码 include kill_bot.conf，保存后即可生效，这样就能禁止一些垃圾蜘蛛和扫描工具的访问。
此外，还可以在 /www/server/nginx/conf 文件夹下面新建一个文件 agent_deny.conf，写入特定代码，然后在网站设置中写入代码 include agent_deny.conf，重启 nginx，也能达到防御垃圾蜘蛛的效果。
在设置 UA 黑名单时需要注意，宝塔防火墙的优先级为 UA 白名单 > UA 黑名单 > URL 关键词拦截 > IP 白名单 > IP 黑名单 > URL 白名单 > URL 黑名单 > CC 防御 > 禁止国外 IP 访问 > User-Agent>URI 过滤 > URL 参数 > Cookie>POST。
如果在使用过程中遇到宝塔防火墙 UA 黑名单自动封禁 ip 不是封真实 IP，而是封 CDN IP 的情况，可以到 nginx 防火墙 - 站点配置中，将 CDN 勾上。若问题仍未解决，可以在网上查找特定 CDN 的设置教程，如百度云 cdn 后台也有获取用户真实 IP 的选项。

二、设置方法

1. 拦截恶意蜘蛛 UA

最常用的方法是拦截爬虫，不想被爬虫爬取网站时，只需要把爬虫的关键词加入进去即可拦截，且不会写拦截日志。例如，可以将一些常见的采集数据的机器人关键词加入 UA 黑名单，如 MJ12bot、AhrefsBot、serpstatbot、DataForSeoBot、SNAPSHOTGPTBot、Go-http-client、python-requests 等。同时，还可以分析指定 UA 然后进行屏蔽。比如进入宝塔面板，文件管理进入 /www/server/nginx/conf 目录，新建空白文件 kill_bot.conf，将一些禁止垃圾搜索引擎蜘蛛抓取和扫描工具的代码保存到该文件中，然后在宝塔 -【网站】-【设置】点击左侧【配置文件】选项卡，在特定位置插入代码 include kill_bot.conf，保存后即可生效，这样就能禁止一些垃圾蜘蛛和扫描工具的访问。此外，还可以在 /www/server/nginx/conf 文件夹下面新建一个文件 agent_deny.conf，写入特定代码，然后在网站设置中写入代码 include agent_deny.conf，重启 nginx，也能达到防御垃圾蜘蛛的效果。

2. 注意事项

1. URL 白名单和黑名单设置格式很重要，填写 URL 时不需要添加参数。例如误拦截的 url 如下：/index/index/aaa.php?id=eradasa&adas，只需要填写他的 URL，不需要添加他的参数。如下：^/index/index/aaa.php，只需要添加 ^/index/index/aaa.php 到 URL 白名单即可。同理，URL 黑名单设置也需注意格式，误拦截的 url 处理方式与白名单一致。

2. IP 白名单所有规则对其无效，IP 黑名单可填写需要拦截的 IP。IP 地址及 IP 地址段的写法有特定规则，某个 IP 地址如 192.168.0.100，IP 地址段如 192.168.0.100-192.168.0.200（100-200 之间的全部 IP 地址）、192.168.0.0/24（屏蔽 192.168.0 开头的全部 IP 地址）、192.168.0.0/16（屏蔽 192.168 开头的全部 IP 地址）、192.168.0.0/8（屏蔽 192 开头的全部 IP 地址，慎用！）。要屏蔽一个恶意 IP 地址，以宝塔面板防火墙为例，在宝塔面板 > 安全，右侧的防火墙中，选择 “屏蔽 IP”，地址填入实际的恶意 IP 地址，点击【屏蔽】按钮即可添加到防火墙规则并生效。若使用宝塔付费防火墙，可在软件商店 > 防火墙 > 全局配置 > IP 黑名单，添加两段完全相同的 IP 地址即可，也可以添加 IP 地址段。如果屏蔽 192.168.0.100-192.168.0.200 之间的全部 IP 地址，可安装宝塔提供的系统防火墙插件，在 IP 规则点击添加规则，添加相应 IP 地址段即可。

三、常见问题及解决方法

1. 白名单 IP 仍被拦截

可能是设置问题，需要检查设置是否正确。
在实际使用中，有用户反馈当 IP 在拦截列表中就算加入了白名单也会被拦截。有用户提出删掉拦截列表中的 IP 以解决此问题，但当被攻击时 IP 上万个，又没有 IP 搜索功能，找都找不到如何删除。目前白名单优先级是最高的，若出现此问题，可以先解封所有，然后重新重启 Nginx 再观察看下。IP 搜索功能后续会开发反馈，大家可以持续关注。

2. 自定义 IP 黑名单错误界面

暂时不能自定义，那个是直接返回状态码。
有用户询问怎么自定义 IP 黑名单错误界面，目前暂不支持自定义，直接返回状态码。

3. 封禁特定范围的 URL

如禁止访问的 url 中，100 以上的数字不能访问，需要正确设置正则表达式。
有用户提出禁止访问的 url 中这种 1 - 99 的数字可以访问，100 以上的的都不可以访问，这种正则可写为 ^/aaa/1 - 99。

4. 处理被误封的 CDN IP

如果宝塔防火墙 UA 黑名单自动封禁 ip 封的是 CDN IP，可到 nginx 防火墙 - 站点配置中，将 CDN 勾上，有些可能还要单独设置下 cdn 后台。
当出现宝塔防火墙 UA 黑名单自动封禁 ip 不是封真实 IP，而是封 CDN IP 的情况时，首先可以到 nginx 防火墙 - 站点配置中，将 CDN 勾上。如果封锁记录里面封锁的都是 CDN 的 ip，可能需要根据使用的具体 cdn 查找网上教程进行单独设置，比如百度云 cdn 后台也有获取用户真实 IP 的选项。若出现类似腾讯云 cdn 无法访问的情况，可能是面板小黑屋拉黑了回源 IP，此时可以去小黑屋查一下 IP，将拉黑的 IP 解救出来就能恢复页面访问。同时，如果在宝塔面板专业版防火墙添加 IP 黑名单后部分页面无法访问，可能是因为添加了 CDN 节点服务器的 IP，此时应从 IP 黑名单中删除这些 IP，并打开 “使用 CDN” 选项，以确保能看到攻击者的实际 ip 地址。
 

墨者安全 防护盾

墨者安全作为专业级别安全防护专家，在应对 Webshell 风险隐患方面展现出了卓越的能力。其拥有全面的检测机制，能够精准识别 Webshell 的各种类型和变体，无论是复杂的大马，还是隐蔽的内存马，都难逃其敏锐的监测。
墨者安全防护盾具备强大的实时监控功能，对服务器的各项活动进行 7*24 小时不间断的监视。一旦发现任何可疑的 Webshell 活动迹象，立即发出警报，并迅速采取隔离和清除措施，将风险扼杀在萌芽状态。
在防护策略上，墨者安全防护盾采用了多层次的防御体系。不仅能够在网络层面阻挡外部的恶意访问和攻击，还能深入系统内部，对服务器的文件系统、进程等进行深度检查和保护，确保 Webshell 无法植入和运行。
同时，墨者安全防护盾拥有快速的应急响应能力。当 Webshell 攻击事件发生时，专业的安全团队能够迅速介入，进行深入的分析和处理，最大程度减少攻击带来的损失，并帮助用户快速恢复服务器的正常运行。
墨者安全防护盾还注重用户教育和培训，为用户提供关于 Webshell 防范的专业知识和最佳实践，帮助用户提升自身的安全意识和防范能力，共同构建坚实的网络安全防线。