缘起

事情缘起于8月19号,我像往常一样下班回家,打卡电脑刷剧,吃饭。突然的短信打破了宁静的生活

202408211724247894.png

当即我就感觉不妙,因为我的网站基本没有什么流量,而且本来就是为了搭着玩。因为自建博客,需要图床,最开始使用的github搭建图床,但是访问太慢,就转用了gitee,后来gitee防盗链的横生变故,导致一时间找不到好用稳定的图床。反正都在用阿里的产品了,索性使用oss作为图床了。

服务开通了两三年,一直平安无事,购买的存储包也完全够用,因为空间还有富余,就给我的好基友配置了key,让他一起使用。当然,这不重要。重要的是,突然欠费了,因为之前一直就听说过oss被恶意刷流量,所以我一下就反应过来了,我可能是被刷流量了。

此时我就很着急了,想去看看怎么回事,但是阿里云很恶心的一点就来了,欠费了不让使用任何功能,就连把oss设置为private都不允许……然后我就摆烂了,因为紧接着就收到了“停止服务”的短信。那我就不担心了,毕竟停止服务了嘛,那就不怕刷了,至于网站图片全部失效,失效就失效嘛,反正这种小网站,关了都没人关心,有什么影响呢?呵呵。

当天晚上我就去玩了几把永劫无间,也不管它了,阿里云的后台也不让用,我还能干嘛?充钱让他继续刷吗?但是游戏也不让人安心玩啊,你以为它只欠了七八块?阿里云的oss是延迟记录的,虽然我不明白为什么延迟,反正就是有一两个小时的延迟就对了,然后就在打了几把游戏后登录了手机app一看,好嘛,欠费八十多……

202408211724249398.png

哎~游戏也不想打了,于是上床睡觉。

复盘

第二天才充了钱,关闭了oss服务(其实也没有关,只是设为了private),然后开始复盘。首先是查看请求数据:有人对我的一张图片请求了33万次,其中失败7万多次,成功了25万次。导致我需要支付高达190GB流量的费用

202408211724249398.jpg

当然有人看到这张图可能会喷,“空referer都能请求,防盗链都没设置,活该被刷~”,但是防盗链有用吗?就和锁一样,防君子不放小人,既是君子,又何须提防?

溯缘

然后我又对这几个IP进行了简单的分析(以下信息来自微步在线),首先是请求次数最多的ip:233.144.222.42

202408211724249398-wmh7.jpg

这……啊这,这怎么说呢?光屁股攻击?感觉也不太像啊。其次就是223.144.220.147,同网段的ip。

但这两个ip请求次数也不够啊,另外两个ip也有百十来M的流量:152.32.129.126

202408211724249398-ywde.jpg

这特么的,傀儡机懒得看了。最后一个ip:117.50.218.216

202408211724249399.jpg

嚯~京爷,这么一看,感觉宁才是背后主角呢。

因果

从ip的分析结果来看呢,这个最正常的IP呢,反而有可能才是幕后主使。那就逆流时间长河,看清这因果缘由

202408211724249399-2aru.jpg

橙色的是正常请求,绿色的是服务关停后的失败请求。可以看到,攻击总共分为了三段,最开始6点多的请求大概可能是试探,又或者程序调试。一直到九点,我收到第一条欠费短信,然后服务就被关停(不是阿里云你反应也太慢了吧……)。因为我没有开启日志转储,只能大胆猜测攻击流程:

攻击者简单尝试后,发现在本地(北京)的速度不咋快,然后换了梯子(香港),结果发现网速还是还是不咋地。然后就使用湖南的网络节点,这个物联网设备很有可能是被攻击后获取到了shell,以至于拿来作为了傀儡机。

从时间轴上看,在我的服务欠费停机后,攻击仍然不死心的狂刷了半小时,过来一小时然后又来了,可以看到是明显的恶意刷流量行为。真该死啊~202408211724249399-o6da.jpg

晚上一点半,这哥们又来了……不是,你是收了人家米了吗,这么加班加点的整我。

万物因果循环,今日你为我横添灾祸,逼我破财消灾。等来日,你必遭报应。我上早八!**……#&*!@!!#^!$$…@*&!#^

斩因果

事情的来龙去脉大概就是这样。曾经,我以为世上还是好人多,实际上,我的oss服务就像行走在黑暗森林一样,直到遇到了一名提着枪的猎人,砰!这枚子弹顺着因果线击中我的眉心。既如此,吾便斩断这因果。

首先,我关闭了所有oss服务,将文件导出,迁移到我的服务器,再去数据里替换掉所有图片链接地址。至此,博客和图床就在一个服务器上了。当然,所有数据我都做本地备份,只要再出问题,快捷恢复即可。

其次,为了提升访问速度,我对所有大小在500kb以上的图片进行了压缩,在损失一部分清晰度的情况下,提升网站的加载速度。

最后再劝各位个人门户网站站长一句:量力而行,要随时做好关停服务器的准备。记得备份~