图床被刷流量

那晚收到一封七牛云的邮件,告知我的一个CDN域名带宽峰值达到了1.3 Gbps,我惊呆了

结果也悲剧了,从收到提醒,立马赶回寝室打开电脑,到关闭访问及时止损,这短短的一个小时内被攻击了1TB多的海外流量,第二天系统出的账单中不出意外的中奖800多。

一直以来我都是很谨慎的,又不是第一次被打,七牛的都做了referer防盗链、带宽阈值回源、内部Nginx限流等诸多防护策略,但是这次我真的很懵逼,之后通过工单沟通后明白了,请求落在了CDN节点上,本身会消耗https请求次数,也就是说请求到了CDN,就会算一个请求,即使被403掉,也会消耗请求次数。

也就是说,这种几亿几亿的恶意请求发过来,这基本就是一个无解的问题,所有是cdn厂商都会遇到,不知道是所有的cdn商是真的技术解决不了,还是行内默认让这块肥肉继续肥下去,我不知道,很多人也都不知道,虽然被刷也是要耗商家资源,但是这资源是客户买的,耗的也是客户资源,所以客户花钱,要么你别用,要用就硬抗。

反正这次我是怕了,我还是个一无所有的苦逼学生,我怕哪天一觉醒来就身负万元债款,所以以后就不使用CDN了,速度慢点没关系,那些老狗顶多把源机打死,我换个IP还能再战!

服务器被入侵

发生在cdn被打的第二天,服务器cpu和内存都是处于高占用的情况,8核16G的机子岂是随便能跑满的,于是检查了服务器存在哪些异常的IP连接。并对连接的IP,进行归属地查询。

  • netstat -antp

发现了一个可疑的国外IP连接。更奇怪的是竟然不显示程序名称,直接记录当前进程的PID值,并自动将PID的所有信息记录,查询PID所在的linux文件地址,紧接着检查当前占用CPU大于百分之30的进程,并检查该进程所在的文件夹。

理论存在,实践开始:

  • ps命令中得到僵死进程的PID
  • 进入/proc目录下以该PID命名的目录中
  • 输入ls -ail,结果中 exe链接对应的就是可执行文件的全路经详细信息
  • 可以发现此连接有异常,对应的应用也有问题,剩下的就是想办法删除此僵尸进程对应的应用程序了,一般都是冗余或垃圾程序,可rm -f 干掉……

到这里我还没有意识到事情的严重性,在删除上述程序的第二天,cpu又炸了,看了一下进程和之前一模一样,我肯定我之前是删除了未知的高占用程序,但是又莫名的出现了,唯一的解释是机子被入侵过,想查看一下有没有被种下定时任务,结果一堆报错,命令被篡改了。

之后一番折腾,发现被篡改的命令不仅仅只有crontab定时任务,还有history命令,估计还有我没有发现的命令,于是我果断重置了镜像,之前的数据就丢了吧,备份已经没有意义了!

这次的经历让我更加明白数据的重要性,也清楚的认识到自己在Linux上的短板,直接选择放弃数据的原因除了一些潜在的威胁之外,最重要的是让自己长一个记性,毕竟花钱买来的教训是最深刻的,第二次就会理性的分析事态评估利害,一旦吃亏,及时调整、撤出、懂得止损。

打算把博客重新做出来,找到了之前的文章备份,今后看心情恢复吧!

© 禁止转载
如果觉得我的文章对你有用,请随意赞赏