- A+
起因
上周,某部比较出名的电影据说出了完整版非枪版,于是在某天堂找到了下载地址。但是下载地址已经失效,朋友给了个迅雷的会员号,于是就打算看看是不是枪版。把某天堂的地址拉了进去,果断找到了已经被迅雷缓存掉了。于是想用迅雷的快速播放功能,但显示源地址错误,无法快速播放。
由于博客上vps剩余流量充足,才用了不到3G/500G,于是就用vps把片子下载了,然后用迅雷的离线离线我博客的地址。
在迅雷离线的时候,查看vps的流出流量都比较稳定,基本上了离线页面显示的下载速度是相同的。
一切还好,很快就离线好了,此时vps没发现什么异常。
有点问题
用快速播放简单看了后,好吧不是枪版,比较满意,于是就开始用家里电脑下载了。
顺便还开了加速通道。。。。。
发现有点问题,一开始下载,网站马上就打不开了,一暂停,又马上恢复了。
当初以为是迅雷占满了vps 的流出,于是就没怎么管。
监控宝发来了服务器不可用的提醒,还是没管。
继续写作业了。
情况不对
写了会作业,大概过了半个多小时,目测电影已经下完了,用手机打开自己的网站,发现还是无法打开。
基本判断应该是出了什么事了,蛋疼地打开了SolusVM平台,我吓尿了。
瞬时的流出居然达到了40M/S,并且占用了我100G的流量…..
感觉到情况不太好,马上改上电脑开始处理。。。。
DDoS deflate战败
一直以来都有用DDoS deflate来防御小规模攻击的习惯
查了下iptables -L,封了的IP并不多,于是就把条件降低,但发现还是不行。
于是开始蛋疼的手动封,但发现效果还是不明显,重启了nginx依然网站无法打开。
cpu占用>85%
top了一下,多个php-fpm进程占用极高
检查特征
把日志拖了下来看看,蛋疼的由于系统时间出错,导致一开始没发现被攻击的特征。
当时时间14时左右,但是此时服务器时间才为9时
蛋疼……
直到我拖到最下面,发现了被大规模地访问视频的下载地址,后缀为rmvb
于是果断去nginx写规则把后缀为rmvb的给403掉
初见成效
ban掉*.rmvb的访问后,cpu一下子就下来了,恢复到了正常的状况。。
重启服务器后,服务器下的网站均恢复了正常访问。
蛋疼又来
上学昂上学昂……
今天回来的时候,发现尼玛突然多了4G的东西,查了一下,我跪了。
access.log这个伟大的日志文件占用的4G的空间。。。
让我情何以堪……….
改名之,重启nginx,重新生成了一个日志,拉下来一看。。。。。
部分日志
121.34.191.96 - - [24/May/2013:19:28:42 +0800] "GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%D6%C2%CE%D2%C3%C7%D6%D5%BD%AB%CA%C5%C8%A5%B5%C4%C7%E0%B4%BA.HD.1024x576.%B9%FA%D3%EF%D6%D0%D7%D6.rmvb HTTP/1.1" 403 564 "http://imlonghao.com/wp-content/uploads/2013/05" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; KB974488)"
180.110.85.117 - - [24/May/2013:19:28:42 +0800] "GET /wp-content/uploads/2013/05/[imlonghao-imlonghao.com].\xE8\x87\xB4\xE6\x88\x91\xE4\xBB\xAC\xE7\xBB\x88\xE5\xB0\x86\xE9\x80\x9D\xE5\x8E\xBB\xE7\x9A\x84\xE9\x9D\x92\xE6\x98\xA5.HD.1024x576.\xE5\x9B\xBD\xE8\xAF\xAD\xE4\xB8\xAD\xE5\xAD\x97.rmvb HTTP/1.1" 403 564 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/6.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; EIE10;ZHCNMSN)"
110.184.8.46 - - [24/May/2013:19:28:42 +0800] "GET /wp-content/uploads/2013/05/[imlonghao-imlonghao.com].\xE8\x87\xB4\xE6\x88\x91\xE4\xBB\xAC\xE7\xBB\x88\xE5\xB0\x86\xE9\x80\x9D\xE5\x8E\xBB\xE7\x9A\x84\xE9\x9D\x92\xE6\x98\xA5.HD.1024x576.\xE5\x9B\xBD\xE8\xAF\xAD\xE4\xB8\xAD\xE5\xAD\x97.rmvb HTTP/1.1" 403 564 "http://imlonghao.com/wp-content/uploads/2013/05" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0E; BRI/2; InfoPath.2; .NET4.0C; youxihe.1437; Media Center PC 6.0; MASP; youxihe.1437)"
61.187.6.123 - - [24/May/2013:19:28:42 +0800] "GET /wp-content/uploads/2013/05/[imlonghao-imlonghao.com].\xD6\xC2\xCE\xD2\xC3\xC7\xD6\xD5\xBD\xAB\xCA\xC5\xC8\xA5\xB5\xC4\xC7\xE0\xB4\xBA.HD.1024x576.\xB9\xFA\xD3\xEF\xD6\xD0\xD7\xD6.rmvb HTTP/1.1" 404 10110 "http://imlonghao.com/wp-content/uploads/2013/05" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
61.136.145.119 - - [24/May/2013:19:28:42 +0800] "GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%D6%C2%CE%D2%C3%C7%D6%D5%BD%AB%CA%C5%C8%A5%B5%C4%C7%E0%B4%BA.HD.1024x576.%B9%FA%D3%EF%D6%D0%D7%D6.rmvb HTTP/1.1" 404 10110 "-" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; )"
218.108.168.178 - - [24/May/2013:19:28:43 +0800] "GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%E8%87%B4%E6%88%91%E4%BB%AC%E7%BB%88%E5%B0%86%E9%80%9D%E5%8E%BB%E7%9A%84%E9%9D%92%E6%98%A5.HD.1024x576.%E5%9B%BD%E8%AF%AD%E4%B8%AD%E5%AD%97.rmvb HTTP/1.1" 404 10110 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)"
180.110.85.117 - - [24/May/2013:19:28:43 +0800] "GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%D6%C2%CE%D2%C3%C7%D6%D5%BD%AB%CA%C5%C8%A5%B5%C4%C7%E0%B4%BA.HD.1024x576.%B9%FA%D3%EF%D6%D0%D7%D6.rmvb HTTP/1.1" 403 564 "http://imlonghao.com/wp-content/uploads/2013/05" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/6.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; EIE10;ZHCNMSN)"
113.120.105.197 - - [24/May/2013:19:28:43 +0800] "GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%E8%87%B4%E6%88%91%E4%BB%AC%E7%BB%88%E5%B0%86%E9%80%9D%E5%8E%BB%E7%9A%84%E9%9D%92%E6%98%A5.HD.1024x576.%E5%9B%BD%E8%AF%AD%E4%B8%AD%E5%AD%97.rmvb HTTP/1.1" 404 10110 "http://imlonghao.com/wp-content/uploads/2013/05" "Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)"
59.56.115.134 - - [24/May/2013:19:28:43 +0800] "GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%D6%C2%CE%D2%C3%C7%D6%D5%BD%AB%CA%C5%C8%A5%B5%C4%C7%E0%B4%BA.HD.1024x576.%B9%FA%D3%EF%D6%D0%D7%D6.rmvb HTTP/1.1" 403 564 "http://imlonghao.com/wp-content/uploads/2013/05" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.2)"
61.131.97.40 - - [24/May/2013:19:28:43 +0800] "GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%D6%C2%CE%D2%C3%C7%D6%D5%BD%AB%CA%C5%C8%A5%B5%C4%C7%E0%B4%BA.HD.1024x576.%B9%FA%D3%EF%D6%D0%D7%D6.rmvb HTTP/1.1" 403 564 "http://imlonghao.com/wp-content/uploads/2013/05" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; MATP; Media Center PC 6.0)"
114.83.179.112 - - [24/May/2013:19:28:43 +0800] "GET /wp-content/uploads/2013/05/[imlonghao-imlonghao.com].\xD6\xC2\xCE\xD2\xC3\xC7\xD6\xD5\xBD\xAB\xCA\xC5\xC8\xA5\xB5\xC4\xC7\xE0\xB4\xBA.HD.1024x576.\xB9\xFA\xD3\xEF\xD6\xD0\xD7\xD6.rmvb HTTP/1.1" 404 10110 "-" "Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; youxihe.1577)"
及时返回了403,但是每秒N次不同地方来的流量你也伤不起啊是不是。。。。
暂时停用了日志功能…….
删掉了那个4G的大日志…..
部分日志下载:access
写在后面
想了想为什么会有那么多不同地方的机子访问这个地址,这个地址除了我自己知道之外没有告诉过别人。
应该就是迅雷的问题了,这部电影当时比较红,可能在离线下载的时候,我这边离线到的MD5与某天堂那边电影的MD5相同,因此迅雷就把我当成了源地址之一,但用户在离线服务器提出下载请求的时候,部分下载请求就会转移到我这边。
从日志中抓了个IP去查,某某宽带,应该不会是迅雷官方服务器,而是用户机子了..
当然,上面的只是我的猜测,有什么不对的地方也敬请指出讨论讨论…
现在这个地址每秒种也有N个请求,试想一下,将这个地址rewrite到某些自己不喜欢的站点,会造成CC攻击么?
假如上面试想成立的话,即用自己的vps离线一些热门的文件后,部分下载请求访问过来,rewrite到别人的站点,岂不是造成了一个很牛X的攻击?
just for fun!