V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
如果你希望学习 CDN 相关知识,那么建议你可以遍历以下软件的说明文档。
NGINX
cURL
tmo
V2EX  ›  CDN

[求助]cdn 被 cloudflare 的 ip 盗刷

  •  
  •   tmo · 140 天前 · 1098 次点击
    这是一个创建于 140 天前的主题,其中的信息可能已经有所发展或是发生改变。

    最近,我的站点受到了全方位的恶意请求攻击

    为什么说全方位呢?相比于常见的其他攻击,这次攻击已经持续将近 30 天了,并且针对我的多个域名(甚至有的域名境内外设置了不同 cdn ,它都分别攻击了,但攻击 ip 都是境外)

    查询日志可以发现,恶意攻击的来源 ip 为 cloudflare 的 IP ,依照我的经验,这应该是用了 cloudflare 的 warp 服务做掩护(本质上是个 vpn ,见 https://blog.cloudflare.com/1111-warp-better-vpn

    尝试联系了 cloudflare ,但他们非说我看到的 ip 是伪造的

    我也尝试抓包攻击的请求,得到的 x-forwarded-for 中的 ip 均为未分配/不存在的假 ip

    [13/Jun/2024:02:48:00 +0800] 15.53.177.227 - 1 "https://这里是真实的 refer ,伪造的和正常请求一致" "GET https://b 攻击的地址 ff4ca27c58f56a6-1.png" 499 523 0 -,SEC|NOCHARGE "Mozilla/5.0 (iPad; CPU OS 9_3_5 like Mac OS X) AppleWebKit/601.1.46 (KHTML, like Gecko) Mobile/13G36" "-"

    这个请求中 15.53.177.227 甚至没有分配

    按理说攻击前攻击者一般会亲自访问网站来确定接下来要攻击的内容,我也翻了攻击开始前一段时间的日志,发现:

    185.99.132.104 - - [08/Jun/2024:03:33:23 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 146.185.214.41 - - [08/Jun/2024:03:33:23 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 38.54.126.18 - - [08/Jun/2024:03:33:23 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 43.131.29.194 - - [08/Jun/2024:03:33:23 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 38.54.59.59 - - [08/Jun/2024:03:33:23 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 38.54.63.220 - - [08/Jun/2024:03:33:24 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 38.54.45.156 - - [08/Jun/2024:03:33:24 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 43.130.200.82 - - [08/Jun/2024:03:33:24 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)" 43.130.151.11 - - [08/Jun/2024:03:33:24 +0000] "GET /login HTTP/1.1" 499 0 "-" "Mozilla/5.0 (compatible; Googlebot/2.1; +http://www.google.com/bot.html)"

    以上的“googlebot”,ip 来自腾讯云,靠谱云香港( Kaopu Cloud HK )等,显然谷歌自己是不会用这些服务商的吧,因此这些就是攻击者扫描网站的服务器 ip 了

    题外话:有人可能会疑问为什么不把这些 ip 也隐藏起来呢?其实你只要处理过攻击就明白:我们习惯在被攻击时直接 ban 掉攻击来源的 ip 段,所以攻击者需要用不同的 ip 来确定是被你 ban 了还是你的网站崩溃了

    说实话,处理到这里时我有点担心了,开始我以为只是哪个小鬼的攻击,现在的表现看来是被自动化的僵尸网络盯上了(也有放心的一点,攻击基本上确定是国人发起的,这样后续的法律程序也方便一些)

    在日志中,也发现了疑似攻击者亲自访问的记录

    110.154.96.129 - - [06/Jun/2024:04:08:24 +0000] "GET / HTTP/1.1" 302 5 "-" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:58.0) Gecko/20100101 Firefox/58.0"

    110.154.96.129 - - [06/Jun/2024:04:08:25 +0000] "GET /login HTTP/1.1" 200 7863 "https://我的网站" "Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:58.0) Gecko/20100101 Firefox/58.0"

    110.154.96.129 - - [06/Jun/2024:04:08:26 +0000] "GET /apps/theming/css/default.css?v=47354877-20 HTTP/1.1" 304 0 "-" "Go-http-client/1.1"

    110.154.96.129 - - [06/Jun/2024:04:08:26 +0000] "GET /dist/core-files_fileinfo.js?v=8294bb86-20 HTTP/1.1" 206 928 "-" "Go-http-client/1.1"

    110.154.96.129 - - [06/Jun/2024:04:08:26 +0000] "GET /dist/core-files_client.js?v=8294bb86-20 HTTP/1.1" 304 0 "-" "Go-http-client/1.1"

    110.154.96.129 - - [06/Jun/2024:04:08:26 +0000] "GET /apps/theming/theme/light-highcontrast.css?plain=1&v=91032ad7 HTTP/1.1" 200 3379 "-" "Go-http-client/1.1"

    110.154.96.129 - - [06/Jun/2024:04:08:27 +0000] "GET /apps/theming/theme/dark-highcontrast.css?plain=1&v=91032ad7 HTTP/1.1" 200 3422 "-" "Go-http-client/1.1"

    110.154.96.129 - - [06/Jun/2024:04:08:27 +0000] "GET /apps/files_rightclick/css/app.css?v=1bf6e69c-20 HTTP/1.1" 304 0 "-" "Go-http-client/1.1"

    ....

    相比上面“googlebot”明显自动化的访问,这几个的访问更接近用浏览器正常打开网站后的请求,但还是自动的( go-httpclient )

    根据查询,这个 ip 来自乌鲁木齐电信,同样标识为 Go-http-client 的还有 39.150.128.109 河南移动,访问行为是一致的。

    困难来了:

    我尝试了联系靠谱云处理,截止目前它们没有回复。

    尝试联系 cloudflare ,他们并不认可攻击与他们有任何关联

    联系移动,电信,显然也是没有回复。

    想问在坐的各位有在以上相关单位工作/有认识的人吗?如果可以希望帮忙联系一下,谢谢!

    (就在写这个的同时,攻击也没有停止,即使 ban 了 ip 返回 403 也在坚持攻击)

    1 条回复
    busier
        1
    busier  
       140 天前 via iPhone
    URL 扫描,端口扫描,尝试密码等,这对于服务器来说属于屁大点事,不要拿家用 pc 防火墙的标准来看待。你要是盯着这点破事不放 那你整天啥事都不要干了

    还有,服务商都懒得搭理你
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   4761 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 26ms · UTC 01:09 · PVG 09:09 · LAX 18:09 · JFK 21:09
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.