我维护了几十个公立医院的官方网站服务器……
它们都在阿里云
每个网站一个 ECS,每个网站独立账号,医院主体注册方便发票直接开给他们
所有网站附件都在七牛,静态资源都在 cdn 服务器,webserver 只提供动态内容
大部分都是单一 ECS,25Mbps 峰值带宽,按流量计费,预存一点钱,按流量计费,流量都很少,都是纯动态内容 少量医院不接受这种预存费之后消费开发票的,采用 5Mbps 带宽方式购买
大部分网站 5000~8000 个新闻动态输出的 HTML 页(超过一万就会删除一部分到归档数据 基本维持这个范围)
每个页基本净 HTML 文件大小 15KB-30KB
不知道从哪天起,我这里管理的所有阿里云的按流量计费的医院网站,都开始流量暴涨,以前 10G 流量包一般可用 5 个月,现在可用两天……
经过深入分析日志,所有的按流量计费的 ECS,都有大量的 UA 为 360Spider 的 bot,24 小时疯狂刷全站,每小时都把我的整站几千个新闻刷一遍……
而通过跟 360 搜索提供的资料比对,这些 BOT 的 UA 跟 360 官方 UA 不一致,且 IP 段不在 360 官方公布的爬虫 IP 段范围
它们的 IP 地址: 106.120.161.0/24 111.206.52.0/24 111.206.59.0/24 36.110.211.0/24
而我的这么多同样体量的医院网站里面,所有按带宽计费的都没出现这情况……
所以,我可能得出了一个可怕的结论:
避免被告索赔千万,算了,我啥结论也没得出,大家散了吧
1
lpd0155 2018-05-12 23:30:46 +08:00 via Android 2
你是说。。。
|
2
abowloflrf 2018-05-12 23:30:57 +08:00
有点意思哦
|
3
ponyxx 2018-05-12 23:34:41 +08:00 via Android
我也发现了,我以前跑过一个业务,服务器是按流量计费,我统计过一月用不了 10g 流量,之后买了个 50g 流量包,就在短短的一月时间内,我流量竟然用了 70 多 g,woc 我就是放了一个个人介绍页而已!
|
4
HXM 2018-05-12 23:35:22 +08:00 via Android
关注一下
|
5
Eoss 2018-05-12 23:36:16 +08:00 via iPhone 4
楼主保留好截图。毕竟没有一千万。
|
6
dfly0603 2018-05-12 23:36:43 +08:00 via Android
mark 一下
|
7
leaves7i 2018-05-12 23:37:04 +08:00 via Android
有没有可能是有用户在 xx 爬你网站?不过他爬这东西干什么呢
|
9
realpg OP @leaves7i #7
xx 爬我网站 我网站很简单就 http://www.target.com/article_display/1 到 http://www.target.com/article_display/9000 每小时都给我全站爬一遍图个啥…… |
10
Bigglesworth 2018-05-12 23:39:58 +08:00 via Android
有点东西,不敢妄加判断。
|
11
mengyaoss77 2018-05-12 23:41:00 +08:00
大新闻??
|
12
cqhme 2018-05-12 23:41:48 +08:00 via Android
感觉会火 打个记号
|
13
flowfire 2018-05-12 23:42:05 +08:00 via iPhone
ip 拉黑吧
|
14
pupboss 2018-05-12 23:44:46 +08:00 1
不一定阿里云的锅,我一周前提过一个工单,也是把阿里云喷了一番,后来翻 log,发现刷流量的根本不是通过 80 443 访问,装了一个 iftop 看了看,发现了异常,配置半天 iptable,封 ip,发现没啥用,对方很多 ip,而且重启就失效。最后用阿里云网页上的安全组,只允许特定端口访问 ECS,算是解决了
仍然不知道对方是通过什么服务刷我流量,但是好像跟你情况不一样,就当是个参考吧 184.168.221.15 ,ip-50-63-202-22.ip.secureserver.net ip 段是属于 ip.secureserver.net 的, |
15
Applenice 2018-05-12 23:46:12 +08:00
24 小时刷全站.....这一般的爬虫采集不会这样啊.....神奇了....
|
16
Ultraman 2018-05-12 23:47:04 +08:00 via Android
要不要猜一下接下来几个月楼主网站的流量会是什么变化趋势
|
17
zn 2018-05-12 23:48:15 +08:00 via iPhone
一千万准备好了吗?
|
18
DGChost 2018-05-12 23:48:56 +08:00
google inurl 搜了下,还真有 article_display/1
|
19
wdlth 2018-05-12 23:50:13 +08:00
106.120.161.0/24 和 36.110.211.0/24 是数字的“态势感知”
|
20
aice114 2018-05-12 23:53:46 +08:00 via Android 16
首先,我们排除掉是阿里云做的这个可能
|
21
huhu3312 2018-05-12 23:54:04 +08:00 1
求问 1 千万是什么梗
|
22
takato 2018-05-12 23:54:07 +08:00
#20 +1
|
23
sfqtsh 2018-05-12 23:54:59 +08:00 via Android
楼上一些人不会仔细看贴吗,lz 都说了 按带宽计费的都没出现这情况 按流量计费的都出现了这情况
|
24
realpg OP @Applenice #15
每小时一次 刷全站的链接 后面数字自增 step2 两组 IP 分别刷奇数参数和偶数参数 一小时一次 刷完就拉倒 下一个小时继续来 并发数非常大,一秒几十个请求(对于超低配 ECS 算是流量巨大了) @pupboss #14 @leaves7i #7 我这有个 XXXX 大学附属 AA 医院 XXXX 大学附属 BB 医院 XXXX 大学附属 CC 医院 XXXX 大学附属 DD 医院 XXXX 大学附属 EE 医院 其中,附属 DD 医院的领导不同意按流量计费的方式结算,要求一口价开发票,所以我给他们医院买的 5Mbps 带宽,其他四个都是按流量计费 现在 AA BB CC EE 医院都是这个 360spider 泛滥 DD 医院啥事儿没有……你说这是啥套路 |
25
tyit 2018-05-12 23:57:17 +08:00 via iPhone
不知道咋回事,最近天,好多国外的 IP 爆破过来,一直狂扫,是不是有大事要发生???
|
26
kennedy32 2018-05-12 23:59:40 +08:00
火前留名,不过最好工单提交认真分析一波,不能单从 IP 判断
|
27
wdlth 2018-05-13 00:00:19 +08:00 2
@sfqtsh LZ 说按带宽计费采用 5Mbps 带宽方式购买,而按流量计费 25Mbps 峰值带宽,这 20Mbps 的差距爬虫还是可以检测出来的。
如果 LZ 把按带宽计费改成 100Mbps 的,各种“态势感知”会爬得更欢快…… |
30
realpg OP 屏蔽 IP 流量包立竿见影的不掉了
|
31
suit 2018-05-13 00:10:02 +08:00
以前碰到过类似的情况,不过不是阿里云的,一些百度蜘蛛(?)的 ip 在那狂刷流量,一天 30 个 G,后来直接屏蔽掉
|
32
suit 2018-05-13 00:11:39 +08:00
开始我也怀疑是主机商干的,但是后面再也没出现过这样的情况
|
33
wdlth 2018-05-13 00:13:10 +08:00
@realpg 既然是爬虫,不可能全球网站都能爬完。你可以尝试把 DD 网站添加到数字的网站安全检测、百度云观测什么的,流量就 duang 的没了……
|
34
logOo 2018-05-13 00:14:04 +08:00 via Android
隔壁有人说网站被百度蜘蛛爬挂了该怎么办。
|
35
q9REUgpVVCU77pWj 2018-05-13 00:14:25 +08:00
要不要先埋几十个伪造页面,万一将来有可能跟踪到呢?
|
36
e9e499d78f 2018-05-13 00:14:40 +08:00 via iPhone
有一个简单的方法,对于日志中 UA 包含 360spider 的记录,查询 IP 的 ptr 记录,如果不是 360 的 ip 则封禁。
|
38
opengps 2018-05-13 00:28:57 +08:00 via Android
感觉是触碰某种服务了,被频繁检测
|
39
yaoqianglee 2018-05-13 00:33:18 +08:00 32
以安全名义自我审查“敏感词”,趁机假公济私把流量计费的客户羊毛给薅了,顺便把绿帽扔给数字。
外面问起来就说是数字的虫子干的,关我 P 事。 内部查起来就说是帮上面审查敏感词,哪个敢反怼。 反正真金白银都到自己口袋了。 纯属瞎编,绝对不是事实,谢绝跨省。 |
40
E1n 2018-05-13 01:00:28 +08:00 via Android 1
等大佬科普 z
|
41
zhantss 2018-05-13 01:30:10 +08:00
我该说,喜闻乐见?溜了溜了
|
42
flowersing 2018-05-13 01:36:18 +08:00 via iPhone
可怕啊
|
43
lshero 2018-05-13 01:55:40 +08:00
是不是网页有循环的链接,观察下日志里爬虫的访问路径
再看看 IP 对应的反向解析,不过 360 不像百度,所有的蜘蛛 IP 都配置了规范的反向解析记录 |
44
Kylin30 2018-05-13 02:02:30 +08:00
我觉得像阿里云这样的公司应该不会做这么 low 的事情
|
45
Immortal 2018-05-13 02:10:13 +08:00 via Android
保持和关注
|
46
RealGM 2018-05-13 07:28:01 +08:00
老周这是要......
|
47
badcode 2018-05-13 07:41:00 +08:00 via iPhone
可能我比较奇葩,
我个人的网站开始就屏蔽搜索爬虫! 因为看 log 发现这货不止一家 然后那些懂的人借搜索 bot 的 UA 做事 处理起来相当头大! |
48
kokutou 2018-05-13 08:24:59 +08:00 via Android
有意思
|
49
hrong 2018-05-13 08:32:38 +08:00 via Android
taoluyun......(逃。。。
|
50
sobigfish 2018-05-13 08:55:48 +08:00
该不是友军伤害吧...(比如什么盾 什么监控之类的)
|
51
silencefent 2018-05-13 09:08:21 +08:00
@ponyxx 单页 10G/M 的大佬
|
52
qianmeng 2018-05-13 09:09:25 +08:00 via Android
没点套路还怎么赚钱? 我说的不是阿里
|
53
laudukang 2018-05-13 09:20:37 +08:00
mark
|
54
4357 2018-05-13 09:48:28 +08:00
mark
|
55
lsido 2018-05-13 09:58:23 +08:00 via Android
我也有这种情况,突然流量暴增,我还以为是 cc。升级之后永远没出现过了
|
56
moult 2018-05-13 09:59:08 +08:00 via iPhone
我才楼主是不是恒生芸泰的?
|
57
mydns 2018-05-13 10:00:58 +08:00
千万别按流量计费 这样你会破产的
|
58
dexterlei 2018-05-13 10:15:19 +08:00
跟百度卖搜索似乎一个套路呢... 让你存点钱,然后帮你消耗光...
|
59
realpg OP 2018.05.13 10:25
屏蔽了这些 IP 以后 又换了个 spider 来啦 换了 IP 换了 UA 134.73.7.0/24 "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0); 360Spider(compatible; HaosouSpider; http://www.haosou.com/help/help_3_2.html)" HaosouSpider 233333 |
60
realpg OP @badcode #47
爬网站 打着搜索引擎的 UA 伪装很正常 没必要搭理他 内容都是公开的 不怕别人爬 也需要正常搜索引擎搜索 因为我这不是野鸡医院 都是二甲三甲的正规公立 都带官网认证 事业单位认证的那种 搜索引擎基本都带 V 的 一般黑的爬网站内容,也没有每小时高并发爬一次全站的吧…… @lshero #43 别欺负我没干过搜索引擎 毕竟在熊厂干过 而且真搜索引擎 spider 我这有独立日志,包括 360 的真 spider,都是新增内容过来爬一下,每个独立搜索引擎一天也就 500-2000 左右的访问,分摊到 24 小时内非常零碎 @sobigfish #50 各种监控的 spider 我都已经分开了 各种盾我都没搞过 |
61
id4alex 2018-05-13 11:13:18 +08:00
专业
|
62
snsd 2018-05-13 11:28:28 +08:00 via iPhone
话说楼主怎么确定掩码范围的?这个比较好奇
|
63
ibolee 2018-05-13 11:33:59 +08:00
为什么 v 站已 Block 会有人在回复里说,已发送感谢却没人在回复里说?
------------- 楼主,我已经向你发送了感谢,不谢! |
65
vjnjc 2018-05-13 11:38:27 +08:00
哈哈谢谢楼主分享~
|
66
falcon05 2018-05-13 12:05:52 +08:00 via Android
可以,这很套路
|
67
panlilu 2018-05-13 12:25:00 +08:00
感觉楼主的分析还是有理有据的……
|
68
feather12315 2018-05-13 12:29:37 +08:00 via Android
@huhu3312 #21 一千万这个具体事件忘了。大意就是,有个 v2er 在这里发了个有关阿里的帖子,叙述了阿里的恶意行为,然后被阿里告至了法院,索赔一千万。
|
69
des 2018-05-13 12:31:38 +08:00
划重點
“所有按带宽计费的都没出现这情况” |
70
a1kaid 2018-05-13 12:40:49 +08:00 1
认为与阿里云无关,根据楼主提供的几个 ip 段 google 了一下,有如下发现
以“ 106.120.161 360 ”为关键字,发现很多在“北邮人论坛“里的 360 招人的帖子 针对” 111.206.52.0/24 “这个 ip 段,发现 http://www.bjnpsh.com/comment_show.asp?id=1&classid=1&page=50 http://www.bjnpsh.com/comment_show.asp?id=1&classid=1&page=84 http://www.qbhs.icampus.cn/cms/app/info/doc/note.php?pCatBodyId=36275 很像扫描注入的,第三个网页里还带着 http://webscan.360.cn 的字样,发现是 360 扫漏洞的一个服务。联想楼主#24 描述的访问 pattern,感觉和扫漏洞确实像? "111.206.59.0/24"这个 ip 段和上一个类似 http://www.qbhs.icampus.cn/cms/app/info/doc/note.php?pCatBodyId=36693&pPage=64 http://www.qbhs.icampus.cn/cms/app/info/doc/note.php?pCatBodyId=36693 扫描注入+360 字样 " 36.110.211.0/24"同上 http://www.qbhs.icampus.cn/cms/app/info/doc/note.php?pCatBodyId=36499 总之不太相信是阿里云的套路,360 有个扫描漏洞的网站很可疑,但也不能排除有人顶着 360 的帽子去注入(至少楼主不是第一个受害者)。 |
71
a1kaid 2018-05-13 12:45:50 +08:00
这里还有一篇腾讯云的文章,涵盖了楼主给出的 4 个 ip 段中的 3 个
https://cloud.tencent.com/developer/article/1088548 不过#59 里给出的 ip 什么都没有发现 |
72
realpg OP @a1kaid #70
这些 IP 正常归属 360 的态势感知,之前已经有人说了 现在的问题有两点,第一,这些 IP 是不是真的,至少访问发生的时候是不是真的 第二,69 楼的重点,为啥他只扫我的流量计费的机器,这里面有啥 py 交易么 |
73
realpg OP @a1kaid #71
59 的是我屏蔽了所有顶楼说的 IP 之后大约 8 个小时,出现的新的,而且变更了 UA,以前的 UA 就是 MOZILLZ 5.0 FIREFOX 39 360SPIDER 没有别的 应该是一种 failsafe 这个 IP 段的 UA 都不一样 而且没有之前那几个 IP 段那么多机器 就几个机器 另外针对 70 楼 我这个检查了 没有注入参数 就是单纯的 http get 访问正常 URL 这是一个我自己低性能优化的系统,最终的服务程序已经完全内存化了,无法 handle 任何构造请求,稍微多一点参数进来直接就丢 400 错误了几个字节 不会有每个真正的 15KB 每个访问的流量 |
75
pisser 2018-05-13 13:21:02 +08:00
就像电信插广告一个门道,出事也没说不是我干得。
|
76
gejigeji 2018-05-13 13:38:56 +08:00
对 ip 进行访问次数限制
|
77
wql 2018-05-13 13:49:14 +08:00 via Android
@a1kaid 卧槽,我看到了什么网站……
这个漏洞我会反馈给那所学校的,毕竟这个漏洞会影响不止一所学校,谢了。 |
78
Jzer0n 2018-05-13 14:10:17 +08:00
有人和我说: 现在实实在在做事的不管是人或者商家, 活的都没有套路的来得滋润.
你又没有一千万那么多钱, 有些事情你总不能说得那么明白的对吧? 一个很浅白的例子: 警察和治安每天巡查辖下尽量保证安全是正常的, 但如果他 24 小时不断的光临你家, 你自己是清白的正当人家, 他这样做的目的是什么? |
79
jadec0der 2018-05-13 14:16:04 +08:00
这…只扫流量计费的也太可疑了,真的是全部都这样没有例外吗?
虽然不太相信阿里会做这种事,但如果统计显著的话也算是实锤了 |
80
CRVV 2018-05-13 14:18:46 +08:00 1
如果能控制 ECS 的路由器,用假 IP 地址来访问是很容易的事情
如果能确认只攻击了流量计费机器这一点不是巧合,那么攻击者准确地知道哪些机器是流量计费的 所以犯人 必须满足两个条件 1. 能控制那些 IP 地址或者能控制路由器( 360 和 VPS 供应商) 2. 知道机器的计费方式 360 没有动机做这件事且没有渠道知道这些机器的计费方式 所以,要么是巧合,要么是 VPS 供应商干的 要验证估计也不难,如果犯人做得不够好,traceroute 或者 ping 就能确认了 如果做得足够好,把 TCP 的包都抓下来,从时间上也许能找到一些痕迹 |
82
easylee 2018-05-13 16:08:23 +08:00 via Android
细思极恐
|
83
dourgulf 2018-05-13 16:25:19 +08:00
火钳刘明
|
84
lemonda 2018-05-13 16:38:07 +08:00
维护的企业站基本都是按流量计费的,目前还未发现,得留意一下了
|
85
ctsed 2018-05-13 16:53:39 +08:00 via Android 2
@feather12315 钉钉客户 a 找客服处理问题的时候发了一个钉钉软件聊天界面的截图,客服又把这个截图发给另一个同公司的客户 b 核实问题,这个 b 很疑惑,问朋友 D:我们公司的聊天记录怎么到了客服手上,这个 D 就在 v 站知乎各种科技媒体站带节奏:阿里偷看客户公司的聊天记录,后来客户 ab 一沟通才知道乌龙了,这对于一款 2B 的 im 来说直接就是致命的信任危机,钉钉和客户澄清后,猜测 D 大概处理的不积极,收到被立案的单子什么的,才到处道歉,联系投稿过的媒体澄清求删帖,当然事情过去之后道歉澄清之类的黑历史能删的都删了。至今还是有些人认为真的是阿里的问题,拿一千万起诉为要挟公关掉了 D,到处刷一千万的梗。
|
86
ctsed 2018-05-13 16:57:24 +08:00 via Android
@feather12315 附 v 站原帖链接,https://www.v2ex.com/t/270752
|
87
realpg OP @CRVV #80
我不认为是阿里云这个大公司层面上去做这种事,根本无法获得公司通过 但是一些自身 KPI 相关的部门小决策会不会这么搞就不好说了 另外,阿里确实没法控制 360,但是架设这个之前有人说的态势感知是一种 360 公开提供的服务(没搜到相关,但是在 360 的网站安全里感觉可能有这个),你如果有个目标列表,自己申请一个,利用一点 360 的验证漏洞或者干脆做个手脚毕竟 IP 地址是自己家的,然后为我订阅个每小时全站扫描一次的态势感知服务,就实现了增加 KPI 的目的了不是 |
88
zeinipiyan 2018-05-13 19:17:37 +08:00
你光想一想也得被索赔 1000 万
|
90
goodryb 2018-05-13 20:17:19 +08:00
阿里云差你这 10G 流量的钱,出现问题不排查问题,而是在这里臆测,还要搞个大新闻
只能说玛德制杖 |
91
firesun 2018-05-13 21:40:42 +08:00
动动脑子想想怎么可能这么做么?
分布式的爬虫,筛查目标机子,维护服务器,都不是一两个人能做完的 有一个人说出去了阿里云是不是 gg 了 是有多脑残的领导会同意这么干? 收益在哪?去查查阿里云的财报,这么搞能给财报增加个零头么? |
92
yylzcom 2018-05-13 22:16:57 +08:00 via Android 3
楼主的和之前各位的分析都很正常,至少依据自己所知事实在理性分析。作为围观群众我看的也蛮有意思。
直到我上面两位 g 开头和 f 开头的回复… |
94
blless 2018-05-13 22:51:43 +08:00 via Android 4
@yylzcom 贪官怎么会瞧得起一个贫困户几百块的补贴嘛,做假账,转移资金,还要安抚那些人,怎么可能是一个人做得完。有一个人说出去了,乌纱帽还要不要了。有多脑残的官员会干这种事?收益在哪,去查查这些当官的账户,这么搞能多加个零头吗?
|
95
blless 2018-05-13 22:52:13 +08:00 via Android
哟…不小心回错了
|
96
alexkh 2018-05-13 22:56:58 +08:00
感觉也没啥实质证据啊。有 2 点建议:
1. 用 robots.txt 把 360 爬虫屏蔽抓取,看数据是不是有减少 2. 每个搜索引擎不会公布所有的 IP 段,会被恶意利用。 |
97
HaEx 2018-05-13 23:31:02 +08:00
@realpg 这种公有云的 KPI,服务质量比营收更重要,因为公有云业务都不怎么赚钱,面向大企业的云才是主要盈利来源;这种系统性的攻击不能说绝对不是内部搞的,可能性大概是 0.000001% 吧;建议直接把问题反馈给阿里云,至少他们不会不愿意帮你解决问题,当然能不能解决是另外一个话题
|
98
mingyun 2018-05-13 23:31:24 +08:00
这里有阿里云官方账号吗
|
99
Myprincess 2018-05-13 23:37:46 +08:00
某域名平台空间,20GB/月流量。三天用完。投诉说流量异常,但是流量用完,网站关闭,继续投诉,平台加送 30GB,,一周内用完。后网站备份,转移。流量正常。
|
100
realpg OP |