没想到又被攻击了!赔了1.5万,我真服了!
夜灵空の午夜狂想曲:
我高一,已经有一年的挨打阅历了
当时在初三,根本没有时间和精力去打理这些事情,但我无视家长劝阻来弄这些东西,就一个晚上,熬到两点,什么都干不了,偏偏就死也...
【回复】有没有可能是你爸看你投入精力太多了,趁你在线的时候攻击你,就是为了劝退你让你刷试卷(不是)[doge]
【回复】回复 @TIAN1326 :之前有案例的,有人自己域名被打直接解析到网警那边去,结果被抓了,理由是进行网络攻击(指的是域名所有者,不是攻击者)
【回复】回复 @-龙肝凤胆- :你要笑死我
程序员鱼皮:
补充一下,其实是被刷了 2 万,扣费有一天的延迟,今早醒来又收到 5000 多的账单 [微笑]
【回复】回复 @一昂羊-ddg :一方面是它不支持直接设置 ip 访问频率,需要我自己去写程序控制,当时觉得比较麻烦;另一方面主要还是缺乏经验,第一次遇到这种欠费情况,没想到能欠这么多。以后会长点心了
【回复】图床为啥不限制ip访问频率呢?或者再加入总的流量访问监控。
【回复】艹,我得赶紧去改成包月[辣眼睛]
不高兴就喝水:
谁收益谁就是最大的嫌疑人,建议严查收款方
【回复】这是碎尸案的经典查案思路
【回复】但是从我下手总觉得不是一个很好的对象 [喜极而泣]
云云学长zirali:
朋友圈看到了,心疼鱼皮~
一定要严惩凶手,虽然一开始就知道攻击者藏在了背后,大部分的信息是无法定位的,但还是想通过行为学的角度分析一下攻击者的画像,希望能帮助鱼皮获得更多线索,结论出于保密原因已经单独发微信了。
亡羊补牢,为时未晚,严密防范这类攻击是不可能的,攻击者行动之前是不会给你通知的,只有累积到一定程度我们才能认清他们,但我们可以有针对的预防,下面给大家一些建议,希望可以有所帮助:
1. 图床配置防盗链,正常使用不会直接访问图片,因此可以拒绝所有空referer访问,并开放一个接口供上传者申请白名单域名,统一审核。
2. 使用CDN或者其他有IP限频能力的服务,尽量不要直接将对象存储源站直接暴露,留一些空间可以供以后策略升级。
3. 不要在任何地方暴露你的云服务账号的资源或者账单情况,这会被别有用心之人用来参照设计攻击规模。
4. 开启细粒度的云监控,并配置好相应等级的通知策略,危险时可以直接电话。
5. 可以使用云服务提供的API,设计一套自己的移动端处置面板,包括前面的白名单域名,停止CDN解析,限制IP地址,以保证能在第一时间无电脑状态下快速处置。
6. 目前CDN已经按小时计费,而对象存储还是按天扣费,所以视频中提到的通知晚了,是因为每天8-10点,按天计费的对象存储才开始推账单,这也是我前文推荐的:你可以用CDN对外访问,而不要对象存储源站直接暴露的根据之一。
7. 国外的虚拟主机我们没办法,但是国内的云服务厂商是有义务配合查案的,所以那几个肉鸡阿里云服务器,尽可能让网警扫描并保留现场,行动要快,必要时可以发函让阿里云提供IP主机的访问信息。主机所有者是攻击者的概率很小,大概所有者自己也不知道自己的主机变成肉鸡了。
8. 除了对象存储之外,云服务器也应该有保护行为,可以直接过滤掉firehol_level4列表中的所有IP,攻击的这些IP基本都在其中。
这已经不是一般的攻击分子了,必须要出重拳,期待鱼皮能在之后带来好消息[保佑]
【回复】回复 @bili_67414152647 : [抱拳]我对云服务比较熟悉了,架构实践经验也很多,有其他不懂的可以随时私信我。
【回复】复制放笔记,以后做网站前看看[脱单doge]
【回复】谢谢云云学长 [大哭] 专业
流_沙_团:
加一个禁止国外访问的规则, 现在攻击源很多都集中在国外. 后期溯源也会好处理很多, 国内的攻击成本会高很多
【回复】回复 @程序员鱼皮 :设置防盗链吧[囧] 这刷一次太狠了
【回复】回复 @PandaTail :不设置是裸奔,别人网站随意引用你的图片地址,碰巧他的网站访问量巨大,不用专门刷你都能让你损失一大笔[吃瓜]。设置了就安全很多 至少不会被其他站点白嫖你资源 花你的流量
熊瓜文化:
看标题还以为是被一堆ip刷的,结果是一天内被1个ip刷了将近四百万次??[笑哭]倒是限制一下每个IP的访问量啊[笑哭]你这一点限制都不做不等着被打呢么
【回复】的确是个很大漏洞,但这学费也太贵了
【回复】我也以为是个好大的ip池
【回复】别人试着换了好几个ip,结果发现没做策略,直接猛打
柃子不再陪跑:
我觉得平台可以给用户一个选择啊,要么欠费了继续跑,不影响业务,要么欠费了马上熔断,这样每个用户就可以看情况灵活变更[Cat2_DoorKeeper!]
【回复】我也觉得[笑哭]已经反馈啦
【回复】回复 @程序员鱼皮 :对象存储好像是无法实时统计流量的[辣眼睛]
【回复】人家就靠这种賺钱[妙啊]
说不尽丶:
我也觉得很不合理,欠费停了不行吗,还能多刷5000
【回复】我也觉得,但是这个操作也有合理性,因为有些业务可能停了损失会比刷量更大。能让用户自己设置就好了[笑哭]
【回复】这不和移动一样吗?流量用完不通知,花光我几十块钱的话费,欠费了才告诉我欠费了,一欠就是几十块[吃瓜]
【回复】回复 @程序员鱼皮 :[笑哭]所以有什么好办法避免,对象存储确实好用啊。
游辰菌:
一样....去年被刷了1.6w...[酸了][酸了][酸了]
【回复】回复 @JIO_后跟 :。。术业有专攻 程序员专职开发 当然牛逼的程序员 例外
【回复】回复 @JIO_后跟 : 不是,写代码是软件开发工程师,搞安全攻防的是攻防工程师,即使是开发安全软件的开发者也不一定精通攻击手段
【回复】其实我一直以为程序员之类的很懂网络攻防[妙啊]
真龙陛下丶贝蕾亚:
原来...流量费用这么贵吗...二十多T就要一万五啊...我专有云云计算运维的,天天看着他们每天都是 08:38 几十几百TB的数据量都习以为常了...好惨啊鱼皮...话说这种都没有比如类似监控短信报警邮件告警的功能的嘛...真抽象啊
【回复】有告警,》5g发了一封 [囧]
【回复】回复 @程序员鱼皮 :笑死,打麻了
【回复】回复 @VirWorks :这不是建设足不足的问题[脱单doge]国内互联网企业没法自建网络,而能建网络的那御三家奉行的是商用补贴民用的策略(商用网络贵,民用网络便宜,商用尤其是数据中心的流量主要以上行为主,民用都是下行为主,也可以互补),所以价格才会这么高。在国外谷歌等大厂都有自己的网络,和运营商之间是平等的,所以谷歌的带宽支出要比国内互联网公司低很多很多。
小李奥和他自己:
就冲你这1.5w的损失,我这两个币,投了
叶昭希:
想到之前我还到处评论,炫耀我的博客网站,看了这个视频觉得幸好啊没被坏人盯上[笑哭][笑哭]
【回复】留个域名找打http://www.gov.cn[doge]
【回复】回复 @青溪小揖捞红鲤 : 这已经不是找打了,这是找死了[微笑]
【回复】最近欠打了,留个域名 localhost:443 [脱单doge]
--Liam--:
给鱼皮投两个币回血[拥抱][拥抱][拥抱]
【回复】同[辣眼睛][大哭][奋斗][拥抱]
旧手机不换菜刀:
我用的阿里云的oss,这个启用延停服务功能就是欠费停止服务吧?还是说默认就是欠费就停?
【回复】延停就是在你余额用完后先不停,等延停功能的信用额度也用完了才停,不是很建议开,像我账户里就5块钱,oss都是资源包,刷完无所谓的。
【回复】计费周期一小时,一小时[酸了[大哭]
【回复】没用,该刷几千还是刷几千,不是实时计费的,一个计费周期就够刷到你吐血
IT小帅哥:
up,你可能需要自己买一台服务器,成本3000
一年电费1000网费1000刚好5000元,这感情看似你是交了智商税,服务器进行托管也可以,放自己家也行,存放文件方便。
【回复】家宽没固定IP,开个鬼网站,而且国内封80,443[OK]
【回复】回复 @一个小番茄a :没有固定IP好像问题不大,备案应该没有强制要求固定IP,动态解析也不是不行,端口问题用阿里云解析到原域名加端口的形式不知道行不行得通,域名没备案解析不了,主要是家用宽带上行不高,而且长时间高上行流量会被运营商打电话问干什么,原则上家用宽带不能用于服务器的
【回复】回复 @一个小番茄a :有云服务器的话搭个frp就可以了,剩下的就是网络带宽问题,还有服务器噪音,我机柜已经扔阳台了还是吵[笑哭]
-梦幻星辰:
我报的培训班,鱼皮网站就是靶机[笑哭]
【回复】请把培训班地址发出来 [脱单doge]
小汉同学-:
身为小白鱼友 我现在什么都做不了 只能抱抱鱼皮[拥抱][拥抱][拥抱] 然后一键三连[脱单doge][脱单doge][脱单doge]
kohihi在东京:
不太懂,欠费金额上限应该是可以自行设定的吧
【回复】很难找,在一个犄角旮旯里头。。但确实有
【回复】那我可以设置欠费上亿吗[doge]
