我 TM 就是一个通下水道的,业余时间在网上现学现用做了个垃圾站点,推广一下上门通下水道的服务,而且啥排名都没有。然后还三天两头遭遇 CC 攻击,网站日志显示疯狂 GET 不存在的页面应该算是 CC 攻击?每次我都只能重启服务器解决。网站地址我就不放了,以免引起误解。 我比较好奇的是这类人都是干啥的?是纯粹无聊还是误伤? 真尼玛的太难了。
截图不让发···
1
leojia 2019-10-24 11:46:35 +08:00
老哥,通下水道这行好做么,我家下水道经常堵,一般都是淘宝买点疏通剂搞定,感觉市场还是蛮大的
|
2
hotbaidu 2019-10-24 11:52:09 +08:00
服务器在境外挂上 cloudflare,国内可以上百度云减速,最近 https 免费开放了。
|
3
tutustream 2019-10-24 11:53:28 +08:00
求问 哪种地漏比较好啊?
|
4
designer 2019-10-24 11:53:35 +08:00 2
说明这一块利润大,伤害了别人的利润。
如果你的网站是冷门没有人花时间和精力去搞你的站 |
5
b821025551b 2019-10-24 11:55:01 +08:00
emmmmm 有的时候会有很多安全机构去各种扫的,只要放到公网肯定会来一堆不错在路由的请求。
|
6
doveyoung 2019-10-24 11:55:44 +08:00
你们这都是什么人啊!你们干什么不好非要搞 CC 攻击啊!
我的网站都被攻击了啊!我连排名都没有啊! 你们能不能学学好! 后面怎么说来着 |
9
Trim21 2019-10-24 11:58:25 +08:00 via Android
可能是那种自动扫漏洞的脚本,不一定是针对你的…
|
11
5yyy 2019-10-24 11:59:53 +08:00
捅下水道
|
12
sipolar OP @lxk11153 确实是通下水道、马桶的。主业之一。看人家在 58 花钱做推广,然后自己感觉效果也不咋地,就现学现用试试做个网站看看。之前做了个修空调的,效果还行。因为深圳这边季节性太强,到了秋冬季节就没什么事了,所以年初就计划搞一个通下水道的业务。
|
13
sipolar OP @tutustream 地漏结构越简单越好,别整太复杂的。简单、易维护比较重要。
|
14
dapang1221 2019-10-24 12:05:03 +08:00
GET 不存在的页面……?不会是被用什么工具猜目录了吧,一般 cc 或 DDOS 都选占用资源高的动态页。nginx 可以直接返回 404 挡住这些流量,如果攻击者不把上行带宽打满,cpu 还是能扛住的
|
15
ik 2019-10-24 12:07:58 +08:00 via iPhone
五月份开始我家的下水道开始频繁的堵, 差不多一周联系两次通下水道的过来,这样来回搞了两个月自己买了个疏通机,通了一次已经管了两三个月了。
北京有没有需要上门通下水道的 🌚 |
16
sipolar OP @dapang1221 帐号太新不能发图片,日志里面都是下面这种,整页整页的。
[21/Oct/2019:14:08:41 +0800] "GET / HTTP/1.1" 200 9266 "-" "Mozilla/5.0 [21/Oct/2019:14:09:04 +0800] "GET /A.H.K.html HTTP/1.1" 503 236 "-" "Mozilla/5.0 [21/Oct/2019:14:09:04 +0800] "GET /xz.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0 [21/Oct/2019:14:09:04 +0800] "GET /111.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0 [21/Oct/2019:14:09:04 +0800] "GET /1111.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0 [21/Oct/2019:14:09:04 +0800] "GET /QQgroup68988741.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0 [21/Oct/2019:14:09:04 +0800] "GET /GZ.HTM HTTP/1.1" 503 236 "-" "Mozilla/5.0 [21/Oct/2019:14:09:05 +0800] "GET /886.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0 |
17
sadfQED2 2019-10-24 12:22:35 +08:00 via Android 5
震惊!现在修下水道都需要懂互联网?太难了
|
18
dapang1221 2019-10-24 12:24:32 +08:00
@sipolar 不是 cc 攻击,你这几条要是连着的,那请求数不算多,返回 http code 503 是程序返回的吗,加个 nginx 直接返回 404 会好些
|
19
mywaiting 2019-10-24 12:28:59 +08:00
|
20
sipolar OP @dapang1221 我是随手复制的,完整的就是下面这种:
123.191.136.207 - - [21/Oct/2019:14:09:06 +0800] "GET /test.txt HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/test.txt" 1713320 123.191.136.207 - - [21/Oct/2019:14:09:09 +0800] "GET /aaa.htm HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/aaa.htm" 732 123.191.136.207 - - [21/Oct/2019:14:09:09 +0800] "GET /2008723182517855.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/2008723182517855.asp" 700 123.191.136.207 - - [21/Oct/2019:14:09:09 +0800] "GET /aaa.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/aaa.asp" 599 123.191.136.207 - - [21/Oct/2019:14:09:09 +0800] "GET /wangshiruyan.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/wangshiruyan.asp" 495 123.191.136.207 - - [21/Oct/2019:14:09:09 +0800] "GET /3.asa HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/3.asa" 526 同一时间点,上百项。然后服务器就没响应了。 |
21
wangxiaoaer 2019-10-24 12:34:56 +08:00 via Android 2
兄弟,你这个通下水道 通的真的下水道吗?
|
22
uyhyygyug1234 2019-10-24 12:37:40 +08:00 1
fail2ban 可以直接在 iptables 上 drop 的,根据出现 404 503 日志。
|
23
LZSZ 2019-10-24 12:40:21 +08:00
你这是被人扫了,不是 cc。
|
25
malusama 2019-10-24 12:48:00 +08:00
欢迎来到互联网。
访问几个不存在的页面服务器就不行了? |
26
westoy 2019-10-24 12:55:28 +08:00
看日志就是被路过扫马的爬了一遍, 不是 CC
|
27
Mac 2019-10-24 12:59:05 +08:00
你服务器也太脆了,上百项就没响应了?这纯粹是被扫而已,我这里遇到天天扫的直接抓 UA 特征,302 转到 GOOGLE
|
28
exceptionplayer1 2019-10-24 13:01:59 +08:00
有业余学习的,也有专业的,专业的估计就跟爬虫一样,全网扫。
我也不懂 我只是猜测 不过这点量应该能抗住吧 想办法抗住 |
29
heiheidewo 2019-10-24 13:02:34 +08:00
日志里面写了 QQ 群号码啊,明显是做推广的
|
30
houzhimeng 2019-10-24 13:03:39 +08:00
不是攻击,这是公网扫描
|
32
ShangAliyun 2019-10-24 13:16:40 +08:00
共享环境下的其他站点被攻击误伤了吧
|
33
7654 2019-10-24 13:17:32 +08:00
访问不存在的路径,我都是 302 到首页
|
34
guokeke 2019-10-24 13:35:43 +08:00
基本都是误伤
|
35
ggicci 2019-10-24 15:50:51 +08:00
为啥一下子想到了老王
|
36
belin520 2019-10-24 15:56:26 +08:00
@tutustream #3 地漏潜水艇呀,都是可拆卸,芯磨损了换一个。
|
37
tabris17 2019-10-24 15:59:13 +08:00
这个不是 CC 攻击,只是普通的漏洞扫描而已
|
38
itskingname 2019-10-24 16:03:46 +08:00
我记得淘宝上有卖那种电动通马桶的机器,外形像步枪,被警察给端了。
|
39
golden0125 2019-10-24 16:04:13 +08:00 1
@sipolar 找特征吧,像这种单一 IP 的话,直接屏蔽就好了
|
40
droiz 2019-10-24 16:06:37 +08:00 via iPhone
@itskingname 哈哈哈 还有这种操作
|
41
wd1196554643 2019-10-24 16:10:45 +08:00
卧槽,现在通下水道都要求都这么高吗!!
|
42
peesefoo 2019-10-24 16:23:03 +08:00 via Android
传统的推广方式竞争也挺大的,就像下水管上贴的牛皮藓广告也经常被同行撕掉,争吵打架事也时有发生。这行不怕脏不怕累还是可以养家的,通个下水道半小时的活,有些要 60,有些要 200。隔壁邻居从开始的通厕所起家,搞到现在十多辆高压疏通清洗车的规模。其实通下水道也不是单一的通下水道,抽粪池、转手卖肥料。。。
|
43
vincent7245 2019-10-24 16:36:03 +08:00
封 IP 吧,简单粗暴而且绝对好用,去年我们公司的服务器被同行攻击,各种方法都试了,封 IP 是最有效的,做个脚本实时更新异常访问的 IP 黑名单
|
44
crab 2019-10-24 16:42:32 +08:00
@tutustream 潜水艇
|
45
scukmh 2019-10-24 16:45:03 +08:00
这是扫 webshell 的
|
46
18k 2019-10-24 17:21:58 +08:00
太南了,通下水道都得懂技术了
|
47
yujiain2008 2019-10-24 17:59:27 +08:00
用高防服务器吧,或者使用软件防火墙,屏蔽国外也行
|
48
sipolar OP @peesefoo 我就是贴广告搞不下去了,深圳这边一方面同行撕,另一方面城管部门采取封停电话这种精准打击方式。只能在网上谋个出路,然后发现也是好难····
|
49
sipolar OP @golden0125 谢谢了,我去查一下怎么个整法。
|
50
sipolar OP @18k 通下水道其实也没什么技术含量,不怕脏,有手就行。主要是这个行业都是中老年人,拼的都是耐力,谁勤快谁就能挣钱,当然黑心也能挣钱。我们这种后生拼耐力是不可能拼得过的,只能琢磨一下这个路子看看情况。关键是贴牛皮癣这个套路已经跟不上时代了,同行撕,环卫撕,剩下一丁点被城管拍照了,还要封停电话,罚款处理。总得找条活路吧,又没学什么技术,只会些家庭内的修修补补。
其实也就是利用闲暇时间,少撸几把,用 GOOGLE、百度这类工具现学现用,建站程序都是傻瓜式操作,无非就是瞎比敲几个字,配上工作图片,算是丰富内容。之前做个本地空调维修的站点,虽然流量很少,但是转化还挺高。所以有了点信心,做个通下水道的,结果现在天天跟个神经质一样,早上一起来就看看有没有宕机,隔段时间就看看。 |
51
peesefoo 2019-10-24 18:35:37 +08:00 via Android 1
@sipolar 这些扫描都是每个网站无法避免的,不一定是恶意攻击。上面大家已经提供了很多解决方案,归纳一下:
1、套个有防护的 CDN,国内可以用百度云加速、360 网站卫士(现在叫奇安信?),国外用 cloudflare 2、22 楼提供的,fail2ban 配合 iptables,制定规则(如短时间内大量 404 请求),自动封禁相应 ip。 |
53
peesefoo 2019-10-24 18:42:55 +08:00 via Android
另外,这类扫描还不至于那么容易导致服务器宕机,最好检查一下服务器配置,正常情况下,访问不存在的文件返回的是 404,你的日志返回的都是 503。
|
55
keepeye 2019-10-24 18:48:50 +08:00
可能是误伤 我之前买了一台服务器,ip 有问题,之前被人拿来做免费 http 代理的,然后一直收到疯狂的请求
|
56
jin7 2019-10-24 19:11:44 +08:00
有的通下水道的 漫天要价 专门坑人, 还是自己买个揣子自己通.
|
57
sunmker 2019-10-24 20:50:17 +08:00
我前两天看日志也发现了一大堆访问 asp,jsp,php 的,UA 都是 Go-Http-client,统计了一下 IP 直接入站规则屏蔽了
|
58
Reficul 2019-10-24 22:18:07 +08:00
可能是服务端实现有问题,这么点请求树莓派都不至于被打挂了。。。
|
59
freelancher 2019-10-24 22:29:44 +08:00
资深运维。
。。。其实就是黑产程序自动扫描来当肉鸡用的。没想到你的不经扫而已。。 真的水平有限就做一个静态的页面。管他什么鬼 CC。一点事都没有。 |
60
vincel 2019-10-25 09:39:24 +08:00
确实 感觉你这个网站做静态页面比较好 没什么交互,一劳永逸,不用担心什么攻击
|
61
celeron533 2019-10-25 10:15:33 +08:00
我猜可能是黑吃黑。
那些扫描路径看上去像是一些被入侵主机的后门入口或者官方建站程序的管理端。如果有命中的,则说明: 1. 你使用了某种建站软件且留了安装入口或后门 2. 你的机器曾经被其他人入侵过,现在这个人也要来窃取革命果实 |
62
eason1874 2019-10-25 10:19:09 +08:00
一秒才几个请求,不是攻击,看访问路径可以看出是扫描机日常操作。
错误路径正常应该返回 404 而你的是 503,说明网站程序有问题,我感觉狂按 F5 就能把你网站刷宕机。 |
63
tairan2006 2019-10-25 10:22:09 +08:00
你这个应该是被扫描了。。很正常,一般主机都会被扫的,网段+80 端口,常用路径
你这个 503 只能说明配置的有问题 |
64
sipolar OP @eason1874 呃,那建站程序有问题的话该如何排查?或者说哪里有这方面的文章可以参考?我用的是 WORDPRESS,买的知更鸟主题。之前我向阿里云提交工单,他们也提到过建站程序可能有问题,我也不会排查就没折腾了,我想着反正重启就完事了,但是没想到现在频率实在太高了。
|
65
Yvette 2019-10-25 11:21:51 +08:00
我还想了一会儿通下水道到底是什么黑话,原来真的就是通下水道啊
|
66
maxbon 2019-10-26 16:09:50 +08:00
单 IP 可太好防了,nginx 就能做
|