最近,我的站点受到了全方位的恶意请求攻击
为什么说全方位呢?相比于常见的其他攻击,这次攻击已经持续将近 30 天了,并且针对我的多个域名(甚至有的域名境内外设置了不同 cdn ,它都分别攻击了,但攻击 ip 都是境外)
查询日志可以发现,恶意攻击的来源 ip 为 cloudflare 的 IP ,依照我的经验,这应该是用了 cloudflare 的 warp 服务做掩护(本质上是个 vpn ,见 https://blog.cloudflare.com/1111-warp-better-vpn )
尝试联系了 cloudflare ,但他们非说我看到的 ip 是伪造的
我也尝试抓包攻击的请求,得到的 x-forwarded-for 中的 ip 均为未分配/不存在的假 ip
[13/Jun/2024:02:48:00 +0800] 15.53.177.227 - 1 "https://这里是真实的 refer ,伪造的和正常请求一致" "GET https://b 攻击的地址 ff4ca27c58f56a6-1.png" 499 523 0 -,SEC|NOCHARGE "Mozilla/5.0 (iPad; CPU OS 9_3_5 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Mobile/13G36" "-"
这个请求中 15.53.177.227 甚至没有分配
按理说攻击前攻击者一般会亲自访问网站来确定接下来要攻击的内容,我也翻了攻击开始前一段时间的日志,发现:
185.99.132.104 - - [08/Jun/2024:03:33:23 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 146.185.214.41 - - [08/Jun/2024:03:33:23 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 38.54.126.18 - - [08/Jun/2024:03:33:23 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 43.131.29.194 - - [08/Jun/2024:03:33:23 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 38.54.59.59 - - [08/Jun/2024:03:33:23 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 38.54.63.220 - - [08/Jun/2024:03:33:24 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 38.54.45.156 - - [08/Jun/2024:03:33:24 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 43.130.200.82 - - [08/Jun/2024:03:33:24 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 43.130.151.11 - - [08/Jun/2024:03:33:24 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"
以上的“googlebot”,ip 来自腾讯云,靠谱云香港( Kaopu Cloud HK )等,显然谷歌自己是不会用这些服务商的吧,因此这些就是攻击者扫描网站的服务器 ip 了
题外话:有人可能会疑问为什么不把这些 ip 也隐藏起来呢?其实你只要处理过攻击就明白:我们习惯在被攻击时直接 ban 掉攻击来源的 ip 段,所以攻击者需要用不同的 ip 来确定是被你 ban 了还是你的网站崩溃了
说实话,处理到这里时我有点担心了,开始我以为只是哪个小鬼的攻击,现在的表现看来是被自动化的僵尸网络盯上了(也有放心的一点,攻击基本上确定是国人发起的,这样后续的法律程序也方便一些)
在日志中,也发现了疑似攻击者亲自访问的记录
110.154.96.129 - - [06/Jun/2024:04:08:24 +0000] "GET / HTTP/1.1" 302 5 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:58.0) Gecko/20100101 Firefox/58.0"
110.154.96.129 - - [06/Jun/2024:04:08:25 +0000] "GET /login HTTP/1.1" 200 7863 "https://我的网站" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:58.0) Gecko/20100101 Firefox/58.0"
110.154.96.129 - - [06/Jun/2024:04:08:26 +0000] "GET /apps/theming/css/default.css?v=47354877-20 HTTP/1.1" 304 0 "-" "Go-http-client/1.1"
110.154.96.129 - - [06/Jun/2024:04:08:26 +0000] "GET /dist/core-files_fileinfo.js?v=8294bb86-20 HTTP/1.1" 206 928 "-" "Go-http-client/1.1"
110.154.96.129 - - [06/Jun/2024:04:08:26 +0000] "GET /dist/core-files_client.js?v=8294bb86-20 HTTP/1.1" 304 0 "-" "Go-http-client/1.1"
110.154.96.129 - - [06/Jun/2024:04:08:26 +0000] "GET /apps/theming/theme/light-highcontrast.css?plain=1&v=91032ad7 HTTP/1.1" 200 3379 "-" "Go-http-client/1.1"
110.154.96.129 - - [06/Jun/2024:04:08:27 +0000] "GET /apps/theming/theme/dark-highcontrast.css?plain=1&v=91032ad7 HTTP/1.1" 200 3422 "-" "Go-http-client/1.1"
110.154.96.129 - - [06/Jun/2024:04:08:27 +0000] "GET /apps/files_rightclick/css/app.css?v=1bf6e69c-20 HTTP/1.1" 304 0 "-" "Go-http-client/1.1"
....
相比上面“googlebot”明显自动化的访问,这几个的访问更接近用浏览器正常打开网站后的请求,但还是自动的( go-httpclient )
根据查询,这个 ip 来自乌鲁木齐电信,同样标识为 Go-http-client 的还有 39.150.128.109 河南移动,访问行为是一致的。
我尝试了联系靠谱云处理,截止目前它们没有回复。
尝试联系 cloudflare ,他们并不认可攻击与他们有任何关联
联系移动,电信,显然也是没有回复。
想问在坐的各位有在以上相关单位工作/有认识的人吗?如果可以希望帮忙联系一下,谢谢!
(就在写这个的同时,攻击也没有停止,即使 ban 了 ip 返回 403 也在坚持攻击)
1
busier 195 天前 via iPhone
URL 扫描,端口扫描,尝试密码等,这对于服务器来说属于屁大点事,不要拿家用 pc 防火墙的标准来看待。你要是盯着这点破事不放 那你整天啥事都不要干了
还有,服务商都懒得搭理你 |