V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
sipolar
V2EX  ›  问与答

那些搞 CC 攻击的都是些什么人啊?连个通下水道的都不放过?

  •  
  •   sipolar · 2019-10-24 11:37:57 +08:00 · 6980 次点击
    这是一个创建于 1841 天前的主题,其中的信息可能已经有所发展或是发生改变。

    我 TM 就是一个通下水道的,业余时间在网上现学现用做了个垃圾站点,推广一下上门通下水道的服务,而且啥排名都没有。然后还三天两头遭遇 CC 攻击,网站日志显示疯狂 GET 不存在的页面应该算是 CC 攻击?每次我都只能重启服务器解决。网站地址我就不放了,以免引起误解。 我比较好奇的是这类人都是干啥的?是纯粹无聊还是误伤? 真尼玛的太难了。

    截图不让发···

    66 条回复    2019-10-26 16:09:50 +08:00
    leojia
        1
    leojia  
       2019-10-24 11:46:35 +08:00
    老哥,通下水道这行好做么,我家下水道经常堵,一般都是淘宝买点疏通剂搞定,感觉市场还是蛮大的
    hotbaidu
        2
    hotbaidu  
       2019-10-24 11:52:09 +08:00
    服务器在境外挂上 cloudflare,国内可以上百度云减速,最近 https 免费开放了。
    tutustream
        3
    tutustream  
       2019-10-24 11:53:28 +08:00
    求问 哪种地漏比较好啊?
    designer
        4
    designer  
       2019-10-24 11:53:35 +08:00   ❤️ 2
    说明这一块利润大,伤害了别人的利润。
    如果你的网站是冷门没有人花时间和精力去搞你的站
    b821025551b
        5
    b821025551b  
       2019-10-24 11:55:01 +08:00
    emmmmm 有的时候会有很多安全机构去各种扫的,只要放到公网肯定会来一堆不错在路由的请求。
    doveyoung
        6
    doveyoung  
       2019-10-24 11:55:44 +08:00
    你们这都是什么人啊!你们干什么不好非要搞 CC 攻击啊!
    我的网站都被攻击了啊!我连排名都没有啊!
    你们能不能学学好!

    后面怎么说来着
    lxk11153
        7
    lxk11153  
       2019-10-24 11:57:09 +08:00
    @leojia #1 他说的通下水道会不会是自嘲?

    CC 攻击工具有哪个比较好用?
    sipolar
        8
    sipolar  
    OP
       2019-10-24 11:57:53 +08:00
    @leojia 哪有什么市场一说,竞争太激烈了,门槛太低,勉强糊口罢了。当然,如果足够黑心,还是赚钱的。
    Trim21
        9
    Trim21  
       2019-10-24 11:58:25 +08:00 via Android
    可能是那种自动扫漏洞的脚本,不一定是针对你的…
    Darkside
        10
    Darkside  
       2019-10-24 11:59:18 +08:00
    @doveyoung (某睿智家长)(笑
    5yyy
        11
    5yyy  
       2019-10-24 11:59:53 +08:00
    捅下水道
    sipolar
        12
    sipolar  
    OP
       2019-10-24 12:01:18 +08:00
    @lxk11153 确实是通下水道、马桶的。主业之一。看人家在 58 花钱做推广,然后自己感觉效果也不咋地,就现学现用试试做个网站看看。之前做了个修空调的,效果还行。因为深圳这边季节性太强,到了秋冬季节就没什么事了,所以年初就计划搞一个通下水道的业务。
    sipolar
        13
    sipolar  
    OP
       2019-10-24 12:03:14 +08:00   ❤️ 2
    @tutustream 地漏结构越简单越好,别整太复杂的。简单、易维护比较重要。
    dapang1221
        14
    dapang1221  
       2019-10-24 12:05:03 +08:00
    GET 不存在的页面……?不会是被用什么工具猜目录了吧,一般 cc 或 DDOS 都选占用资源高的动态页。nginx 可以直接返回 404 挡住这些流量,如果攻击者不把上行带宽打满,cpu 还是能扛住的
    ik
        15
    ik  
       2019-10-24 12:07:58 +08:00 via iPhone
    五月份开始我家的下水道开始频繁的堵, 差不多一周联系两次通下水道的过来,这样来回搞了两个月自己买了个疏通机,通了一次已经管了两三个月了。


    北京有没有需要上门通下水道的 🌚
    sipolar
        16
    sipolar  
    OP
       2019-10-24 12:17:44 +08:00
    @dapang1221 帐号太新不能发图片,日志里面都是下面这种,整页整页的。
    [21/Oct/2019:14:08:41 +0800] "GET / HTTP/1.1" 200 9266 "-" "Mozilla/5.0
    [21/Oct/2019:14:09:04 +0800] "GET /A.H.K.html HTTP/1.1" 503 236 "-" "Mozilla/5.0
    [21/Oct/2019:14:09:04 +0800] "GET /xz.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0
    [21/Oct/2019:14:09:04 +0800] "GET /111.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0
    [21/Oct/2019:14:09:04 +0800] "GET /1111.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0
    [21/Oct/2019:14:09:04 +0800] "GET /QQgroup68988741.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0
    [21/Oct/2019:14:09:04 +0800] "GET /GZ.HTM HTTP/1.1" 503 236 "-" "Mozilla/5.0
    [21/Oct/2019:14:09:05 +0800] "GET /886.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0
    sadfQED2
        17
    sadfQED2  
       2019-10-24 12:22:35 +08:00 via Android   ❤️ 5
    震惊!现在修下水道都需要懂互联网?太难了
    dapang1221
        18
    dapang1221  
       2019-10-24 12:24:32 +08:00
    @sipolar 不是 cc 攻击,你这几条要是连着的,那请求数不算多,返回 http code 503 是程序返回的吗,加个 nginx 直接返回 404 会好些
    mywaiting
        19
    mywaiting  
       2019-10-24 12:28:59 +08:00
    @sipolar 这些都是工具扫 webshell 的,看这一堆的 asp 就明白了

    要是自己的网站,明白知道服务器没有啥 .asp .php 这样的,收到这样的请求三次直接封 IP 一个小时可以了
    sipolar
        20
    sipolar  
    OP
       2019-10-24 12:29:51 +08:00
    @dapang1221 我是随手复制的,完整的就是下面这种:
    123.191.136.207 - - [21/Oct/2019:14:09:06 +0800] "GET /test.txt HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/test.txt" 1713320
    123.191.136.207 - - [21/Oct/2019:14:09:09 +0800] "GET /aaa.htm HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/aaa.htm" 732
    123.191.136.207 - - [21/Oct/2019:14:09:09 +0800] "GET /2008723182517855.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/2008723182517855.asp" 700
    123.191.136.207 - - [21/Oct/2019:14:09:09 +0800] "GET /aaa.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/aaa.asp" 599
    123.191.136.207 - - [21/Oct/2019:14:09:09 +0800] "GET /wangshiruyan.asp HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/wangshiruyan.asp" 495
    123.191.136.207 - - [21/Oct/2019:14:09:09 +0800] "GET /3.asa HTTP/1.1" 503 236 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64; rv:7.0.1) Gecko/20100101 Firefox/7.0.1" syu6168430001.my3w.com text/html "/usr/home/syu6168430001/htdocs/3.asa" 526

    同一时间点,上百项。然后服务器就没响应了。
    wangxiaoaer
        21
    wangxiaoaer  
       2019-10-24 12:34:56 +08:00 via Android   ❤️ 2
    兄弟,你这个通下水道 通的真的下水道吗?
    uyhyygyug1234
        22
    uyhyygyug1234  
       2019-10-24 12:37:40 +08:00   ❤️ 1
    fail2ban 可以直接在 iptables 上 drop 的,根据出现 404 503 日志。
    LZSZ
        23
    LZSZ  
       2019-10-24 12:40:21 +08:00
    你这是被人扫了,不是 cc。
    sipolar
        24
    sipolar  
    OP
       2019-10-24 12:43:14 +08:00
    @LZSZ 呃,我以为是 CC 攻击,我啥都是 google/baidu 来的。
    malusama
        25
    malusama  
       2019-10-24 12:48:00 +08:00
    欢迎来到互联网。
    访问几个不存在的页面服务器就不行了?
    westoy
        26
    westoy  
       2019-10-24 12:55:28 +08:00
    看日志就是被路过扫马的爬了一遍, 不是 CC
    Mac
        27
    Mac  
       2019-10-24 12:59:05 +08:00
    你服务器也太脆了,上百项就没响应了?这纯粹是被扫而已,我这里遇到天天扫的直接抓 UA 特征,302 转到 GOOGLE
    exceptionplayer1
        28
    exceptionplayer1  
       2019-10-24 13:01:59 +08:00
    有业余学习的,也有专业的,专业的估计就跟爬虫一样,全网扫。
    我也不懂
    我只是猜测
    不过这点量应该能抗住吧
    想办法抗住
    heiheidewo
        29
    heiheidewo  
       2019-10-24 13:02:34 +08:00
    日志里面写了 QQ 群号码啊,明显是做推广的
    houzhimeng
        30
    houzhimeng  
       2019-10-24 13:03:39 +08:00
    不是攻击,这是公网扫描
    sipolar
        31
    sipolar  
    OP
       2019-10-24 13:05:09 +08:00 via Android
    @Mac 阿里云虚拟机基础版,主要还是不会做任何安全配置。只会重启服务器。。。。
    ShangAliyun
        32
    ShangAliyun  
       2019-10-24 13:16:40 +08:00
    共享环境下的其他站点被攻击误伤了吧
    7654
        33
    7654  
       2019-10-24 13:17:32 +08:00
    访问不存在的路径,我都是 302 到首页
    guokeke
        34
    guokeke  
       2019-10-24 13:35:43 +08:00
    基本都是误伤
    ggicci
        35
    ggicci  
       2019-10-24 15:50:51 +08:00
    为啥一下子想到了老王
    belin520
        36
    belin520  
       2019-10-24 15:56:26 +08:00
    @tutustream #3 地漏潜水艇呀,都是可拆卸,芯磨损了换一个。
    tabris17
        37
    tabris17  
       2019-10-24 15:59:13 +08:00
    这个不是 CC 攻击,只是普通的漏洞扫描而已
    itskingname
        38
    itskingname  
       2019-10-24 16:03:46 +08:00
    我记得淘宝上有卖那种电动通马桶的机器,外形像步枪,被警察给端了。
    golden0125
        39
    golden0125  
       2019-10-24 16:04:13 +08:00   ❤️ 1
    @sipolar 找特征吧,像这种单一 IP 的话,直接屏蔽就好了
    droiz
        40
    droiz  
       2019-10-24 16:06:37 +08:00 via iPhone
    @itskingname 哈哈哈 还有这种操作
    wd1196554643
        41
    wd1196554643  
       2019-10-24 16:10:45 +08:00
    卧槽,现在通下水道都要求都这么高吗!!
    peesefoo
        42
    peesefoo  
       2019-10-24 16:23:03 +08:00 via Android
    传统的推广方式竞争也挺大的,就像下水管上贴的牛皮藓广告也经常被同行撕掉,争吵打架事也时有发生。这行不怕脏不怕累还是可以养家的,通个下水道半小时的活,有些要 60,有些要 200。隔壁邻居从开始的通厕所起家,搞到现在十多辆高压疏通清洗车的规模。其实通下水道也不是单一的通下水道,抽粪池、转手卖肥料。。。
    vincent7245
        43
    vincent7245  
       2019-10-24 16:36:03 +08:00
    封 IP 吧,简单粗暴而且绝对好用,去年我们公司的服务器被同行攻击,各种方法都试了,封 IP 是最有效的,做个脚本实时更新异常访问的 IP 黑名单
    crab
        44
    crab  
       2019-10-24 16:42:32 +08:00
    @tutustream 潜水艇
    scukmh
        45
    scukmh  
       2019-10-24 16:45:03 +08:00
    这是扫 webshell 的
    18k
        46
    18k  
       2019-10-24 17:21:58 +08:00
    太南了,通下水道都得懂技术了
    yujiain2008
        47
    yujiain2008  
       2019-10-24 17:59:27 +08:00
    用高防服务器吧,或者使用软件防火墙,屏蔽国外也行
    sipolar
        48
    sipolar  
    OP
       2019-10-24 18:06:58 +08:00
    @peesefoo 我就是贴广告搞不下去了,深圳这边一方面同行撕,另一方面城管部门采取封停电话这种精准打击方式。只能在网上谋个出路,然后发现也是好难····
    sipolar
        49
    sipolar  
    OP
       2019-10-24 18:08:11 +08:00
    @golden0125 谢谢了,我去查一下怎么个整法。
    sipolar
        50
    sipolar  
    OP
       2019-10-24 18:19:47 +08:00
    @18k 通下水道其实也没什么技术含量,不怕脏,有手就行。主要是这个行业都是中老年人,拼的都是耐力,谁勤快谁就能挣钱,当然黑心也能挣钱。我们这种后生拼耐力是不可能拼得过的,只能琢磨一下这个路子看看情况。关键是贴牛皮癣这个套路已经跟不上时代了,同行撕,环卫撕,剩下一丁点被城管拍照了,还要封停电话,罚款处理。总得找条活路吧,又没学什么技术,只会些家庭内的修修补补。

    其实也就是利用闲暇时间,少撸几把,用 GOOGLE、百度这类工具现学现用,建站程序都是傻瓜式操作,无非就是瞎比敲几个字,配上工作图片,算是丰富内容。之前做个本地空调维修的站点,虽然流量很少,但是转化还挺高。所以有了点信心,做个通下水道的,结果现在天天跟个神经质一样,早上一起来就看看有没有宕机,隔段时间就看看。
    peesefoo
        51
    peesefoo  
       2019-10-24 18:35:37 +08:00 via Android   ❤️ 1
    @sipolar 这些扫描都是每个网站无法避免的,不一定是恶意攻击。上面大家已经提供了很多解决方案,归纳一下:
    1、套个有防护的 CDN,国内可以用百度云加速、360 网站卫士(现在叫奇安信?),国外用 cloudflare
    2、22 楼提供的,fail2ban 配合 iptables,制定规则(如短时间内大量 404 请求),自动封禁相应 ip。
    supersu
        52
    supersu  
       2019-10-24 18:37:16 +08:00
    @sipolar 贴一下网址吧,想学习一下你的单页是怎么设计的
    peesefoo
        53
    peesefoo  
       2019-10-24 18:42:55 +08:00 via Android
    另外,这类扫描还不至于那么容易导致服务器宕机,最好检查一下服务器配置,正常情况下,访问不存在的文件返回的是 404,你的日志返回的都是 503。
    sipolar
        54
    sipolar  
    OP
       2019-10-24 18:47:17 +08:00
    @peesefoo 非常感谢!
    keepeye
        55
    keepeye  
       2019-10-24 18:48:50 +08:00
    可能是误伤 我之前买了一台服务器,ip 有问题,之前被人拿来做免费 http 代理的,然后一直收到疯狂的请求
    jin7
        56
    jin7  
       2019-10-24 19:11:44 +08:00
    有的通下水道的 漫天要价 专门坑人, 还是自己买个揣子自己通.
    sunmker
        57
    sunmker  
       2019-10-24 20:50:17 +08:00
    我前两天看日志也发现了一大堆访问 asp,jsp,php 的,UA 都是 Go-Http-client,统计了一下 IP 直接入站规则屏蔽了
    Reficul
        58
    Reficul  
       2019-10-24 22:18:07 +08:00
    可能是服务端实现有问题,这么点请求树莓派都不至于被打挂了。。。
    freelancher
        59
    freelancher  
       2019-10-24 22:29:44 +08:00
    资深运维。

    。。。其实就是黑产程序自动扫描来当肉鸡用的。没想到你的不经扫而已。。

    真的水平有限就做一个静态的页面。管他什么鬼 CC。一点事都没有。
    vincel
        60
    vincel  
       2019-10-25 09:39:24 +08:00
    确实 感觉你这个网站做静态页面比较好 没什么交互,一劳永逸,不用担心什么攻击
    celeron533
        61
    celeron533  
       2019-10-25 10:15:33 +08:00
    我猜可能是黑吃黑。
    那些扫描路径看上去像是一些被入侵主机的后门入口或者官方建站程序的管理端。如果有命中的,则说明:
    1. 你使用了某种建站软件且留了安装入口或后门
    2. 你的机器曾经被其他人入侵过,现在这个人也要来窃取革命果实
    eason1874
        62
    eason1874  
       2019-10-25 10:19:09 +08:00
    一秒才几个请求,不是攻击,看访问路径可以看出是扫描机日常操作。

    错误路径正常应该返回 404 而你的是 503,说明网站程序有问题,我感觉狂按 F5 就能把你网站刷宕机。
    tairan2006
        63
    tairan2006  
       2019-10-25 10:22:09 +08:00
    你这个应该是被扫描了。。很正常,一般主机都会被扫的,网段+80 端口,常用路径

    你这个 503 只能说明配置的有问题
    sipolar
        64
    sipolar  
    OP
       2019-10-25 10:39:38 +08:00
    @eason1874 呃,那建站程序有问题的话该如何排查?或者说哪里有这方面的文章可以参考?我用的是 WORDPRESS,买的知更鸟主题。之前我向阿里云提交工单,他们也提到过建站程序可能有问题,我也不会排查就没折腾了,我想着反正重启就完事了,但是没想到现在频率实在太高了。
    Yvette
        65
    Yvette  
       2019-10-25 11:21:51 +08:00
    我还想了一会儿通下水道到底是什么黑话,原来真的就是通下水道啊
    maxbon
        66
    maxbon  
       2019-10-26 16:09:50 +08:00
    单 IP 可太好防了,nginx 就能做
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1021 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 30ms · UTC 22:05 · PVG 06:05 · LAX 14:05 · JFK 17:05
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.