邮箱:service@hongdaqianqiu.com
起因
上周,某部比较出名的电影据说出了完整版非枪版,于是在某天堂找到了下载地址。但是下载地址已经失效,朋友给了个迅雷的会员号,于是就打算看看是不是枪版。把某天堂的地址拉了进去,果断找到了已经被迅雷缓存掉了。于是想用迅雷的快速播放功能,但显示源地址错误,无法快速播放。
由于博客上vps剩余流量充足,才用了不到3G/500G,于是就用vps把片子下载了,然后用迅雷的离线下载来离线我博客的地址。
在迅雷离线下载的时候,查看vps的流出流量都比较稳定,基本上了离线页面显示的下载速度是相同的。
一切还好,很快就离线好了,此时vps没发现什么异常。
用快速播放简单看了后,好吧不是枪版,比较满意,于是就开始用家里电脑下载了。
顺便还开了加速通道。。。。。
发现有点问题,一开始下载,网站马上就打不开了,一暂停,又马上恢复了。
当初以为是迅雷占满了vps 的流出,于是就没怎么管。
监控宝发来了服务器不可用的提醒,还是没管。
继续写作业了。
写了会作业,大概过了半个多小时,目测电影已经下完了,用手机打开自己的网站,发现还是无法打开。
基本判断应该是出了什么事了,蛋疼地打开了SolusVM平台,我吓尿了。
瞬时的流出居然达到了40M/S,并且占用了我100G的流量…..
感觉到情况不太多,马上改上电脑开始处理。。。。
一直以来都有用DDoS deflate来防御小规模攻击的习惯
查了下iptables -L,封了的IP并不多,于是就把条件降低,但发现还是不行。
于是开始蛋疼的手动封,但发现效果还是不明显,重启了nginx依然网站无法打开。
cpu占用>85%
top了一下,多个php-fpm进程占用极高
把日志拖了下来看看,蛋疼的由于系统时间出错,导致一开始没发现被攻击的特征。
当时时间14时左右,但是此时服务器时间才为9时
蛋疼……
直到我拖到最下面,发现了被大规模地访问视频的下载地址,后缀为rmvb
于是果断去nginx写规则把后缀为rmvb的给403掉
ban掉*.rmvb的访问后,cpu一下子就下来了,恢复到了正常的状况。。
重启服务器后,服务器下的网站均恢复了正常访问。
上学昂上学昂……
今天回来的时候,发现尼玛突然多了4G的东西,查了一下,我跪了。
access.log这个伟大的日志文件占用的4G的空间。。。
让我情何以堪……….
改名之,重启nginx,重新生成了一个日志,拉下来一看。。。。。
部分日志
|
1
|
121.34.191.96 - - [24/May/2013:19:28:42 +0800] “GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%D6%C2%CE%D2%C3%C7%D6%D5%BD%AB%CA%C5%C8%A5%B5%C4%C7%E0%B4%BA.HD.1024×576.%B9%FA%D3%EF%D6%D0%D7%D6.rmvb HTTP/1.1″ 403 564 “http://imlonghao.com/wp-content/uploads/2013/05″ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; InfoPath.3; KB974488)”
|
|
1
|
180.110.85.117 - - [24/May/2013:19:28:42 +0800] “GET /wp-content/uploads/2013/05/[imlonghao-imlonghao.com].xE8x87xB4xE6x88x91xE4xBBxACxE7xBBx88xE5xB0x86xE9x80x9DxE5x8ExBBxE7x9Ax84xE9x9Dx92xE6x98xA5.HD.1024×576.xE5x9BxBDxE8xAFxADxE4xB8xADxE5xADx97.rmvb HTTP/1.1″ 403 564 “-” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/6.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; EIE10;ZHCNMSN)”
|
|
1
|
110.184.8.46 - - [24/May/2013:19:28:42 +0800] “GET /wp-content/uploads/2013/05/[imlonghao-imlonghao.com].xE8x87xB4xE6x88x91xE4xBBxACxE7xBBx88xE5xB0x86xE9x80x9DxE5x8ExBBxE7x9Ax84xE9x9Dx92xE6x98xA5.HD.1024×576.xE5x9BxBDxE8xAFxADxE4xB8xADxE5xADx97.rmvb HTTP/1.1″ 403 564 “http://imlonghao.com/wp-content/uploads/2013/05″ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0E; BRI/2; InfoPath.2; .NET4.0C; youxihe.1437; Media Center PC 6.0; MASP; youxihe.1437)”
|
|
1
|
61.187.6.123 - - [24/May/2013:19:28:42 +0800] “GET /wp-content/uploads/2013/05/[imlonghao-imlonghao.com].xD6xC2xCExD2xC3xC7xD6xD5xBDxABxCAxC5xC8xA5xB5xC4xC7xE0xB4xBA.HD.1024×576.xB9xFAxD3xEFxD6xD0xD7xD6.rmvb HTTP/1.1″ 404 10110 “http://imlonghao.com/wp-content/uploads/2013/05″ “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)”
|
|
1
|
61.136.145.119 - - [24/May/2013:19:28:42 +0800] “GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%D6%C2%CE%D2%C3%C7%D6%D5%BD%AB%CA%C5%C8%A5%B5%C4%C7%E0%B4%BA.HD.1024×576.%B9%FA%D3%EF%D6%D0%D7%D6.rmvb HTTP/1.1″ 404 10110 “-” “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; )”
|
|
1
|
218.108.168.178 - - [24/May/2013:19:28:43 +0800] “GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%E8%87%B4%E6%88%91%E4%BB%AC%E7%BB%88%E5%B0%86%E9%80%9D%E5%8E%BB%E7%9A%84%E9%9D%92%E6%98%A5.HD.1024×576.%E5%9B%BD%E8%AF%AD%E4%B8%AD%E5%AD%97.rmvb HTTP/1.1″ 404 10110 “-” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729)”
|
|
1
|
180.110.85.117 - - [24/May/2013:19:28:43 +0800] “GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%D6%C2%CE%D2%C3%C7%D6%D5%BD%AB%CA%C5%C8%A5%B5%C4%C7%E0%B4%BA.HD.1024×576.%B9%FA%D3%EF%D6%D0%D7%D6.rmvb HTTP/1.1″ 403 564 “http://imlonghao.com/wp-content/uploads/2013/05″ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/6.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.3; EIE10;ZHCNMSN)”
|
|
1
|
113.120.105.197 - - [24/May/2013:19:28:43 +0800] “GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%E8%87%B4%E6%88%91%E4%BB%AC%E7%BB%88%E5%B0%86%E9%80%9D%E5%8E%BB%E7%9A%84%E9%9D%92%E6%98%A5.HD.1024×576.%E5%9B%BD%E8%AF%AD%E4%B8%AD%E5%AD%97.rmvb HTTP/1.1″ 404 10110 “http://imlonghao.com/wp-content/uploads/2013/05″ “Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 1.1.4322; .NET CLR 2.0.50727)”
|
|
1
|
59.56.115.134 - - [24/May/2013:19:28:43 +0800] “GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%D6%C2%CE%D2%C3%C7%D6%D5%BD%AB%CA%C5%C8%A5%B5%C4%C7%E0%B4%BA.HD.1024×576.%B9%FA%D3%EF%D6%D0%D7%D6.rmvb HTTP/1.1″ 403 564 “http://imlonghao.com/wp-content/uploads/2013/05″ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; WOW64; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; .NET4.0C; .NET4.0E; InfoPath.2)”
|
|
1
|
61.131.97.40 - - [24/May/2013:19:28:43 +0800] “GET /wp-content/uploads/2013/05/%5Bimlonghao-imlonghao.com%5D.%D6%C2%CE%D2%C3%C7%D6%D5%BD%AB%CA%C5%C8%A5%B5%C4%C7%E0%B4%BA.HD.1024×576.%B9%FA%D3%EF%D6%D0%D7%D6.rmvb HTTP/1.1″ 403 564 “http://imlonghao.com/wp-content/uploads/2013/05″ “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; MATP; Media Center PC 6.0)”
|
|
1
|
114.83.179.112 - - [24/May/2013:19:28:43 +0800] “GET /wp-content/uploads/2013/05/[imlonghao-imlonghao.com].xD6xC2xCExD2xC3xC7xD6xD5xBDxABxCAxC5xC8xA5xB5xC4xC7xE0xB4xBA.HD.1024×576.xB9xFAxD3xEFxD6xD0xD7xD6.rmvb HTTP/1.1″ 404 10110 “-” “Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/5.0; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; .NET4.0C; youxihe.1577)”
|
及时返回了403,但是每秒N次不同地方来的流量你也伤不起啊是不是。。。。
暂时停用了日志功能…….
删掉了那个4G的大日志…..
部分日志下载:access
想了想为什么会有那么多不同地方的机子访问这个地址,这个地址除了我自己知道之外没有告诉过别人。
应该就是迅雷的问题了,这部电影当时比较红,可能在离线下载的时候,我这边离线到的MD5与某天堂那边电影的MD5相同,因此迅雷就把我当成了源地址之一,但用户在离线服务器提出下载请求的时候,部分下载请求就会转移到我这边。
从日志中抓了个IP去查,某某宽带,应该不会是迅雷官方服务器,而是用户机子了..
当然,上面的只是我的猜测,有什么不对的地方也敬请指出讨论讨论…
现在这个地址每秒种也有N的请求,试想一下,将这个地址rewrite到某些自己不喜欢的站点,会造成CC攻击么?
假如上面试想成立的话,即用自己的vps离线一个热门的文件后,部分下载请求访问过来,rewrite到别人的站点,岂不是造成了一个很牛X的攻击?
just for fun!
91ri.org:博主想自己的vps离线一个热门的文件后,部分下载请求访问过来,rewrite到别人的站点以此来造成一个DDOS攻击。个人是觉得这个思路似乎可行,在目标站上找个大的文件,并且转发过去。那么就有可能有非常非常多的用户去请求这个文件。那么目标站自然就….. 咳咳….
ps核总的办法:还可以试试在百度贴吧大流量帖子里这样:
|
1
|
<img src=“http://www.baidu.com/big.rar” />
|
或者这样:
|
1
|
<img src=“http://www.baidu.com/s?wd=%E7%BD%91%E7%BB%9C%E5%AE%89%E5%85%A8&rsv_spt=1&issp=1&rsv_bp=0&ie=utf-8&tn=baiduhome_pg&rsv_sug3=2&rsv_sug=1&rsv_sug4=102&rsv_sug1=1″ />
|
你懂的….
相关案例:《利用P2P网络发动大规模、大流量DDOS攻击》
原文link:http://imlonghao.com/post/2013-05-24/%E8%BF%85%E9%9B%B7%E4%BA%91%E4%BD%A0%E4%BC%A4%E4%B8%8D%E8%B5%B7%E5%95%8A
本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。
Copyright © hongdaChiaki. All Rights Reserved. 鸿大千秋 版权所有
联系方式:
地址: 深圳市南山区招商街道沿山社区沿山路43号创业壹号大楼A栋107室
邮箱:service@hongdaqianqiu.com
备案号:粤ICP备15078875号
