突然发现自己的 alist 被刷流量了

2025 年 6 月 16 日
 Ichiban

今天突然用 infuse 看 alist 挂载的视频巨卡,看了眼自己阿里云盘的三方权益流量包,发现 1T 的流量被用完了,而我自己绝不可能用到这么多流量,再看了眼 alist 的访问记录,发现有几个 ip 一直在访问我的 alist

仔细观察这几个 ip 访问的路径,都是 /d/xxx 这样的格式,xxx 是文件路径,我自己访问发现这个路径无需鉴权,路径文件存在就可以直接访问。解决方案是设置里启用签名,启动之后再访问就会返回 403 ,这点算我的设置失误,没想到关闭了 guest 访问,还有这种方法可以免鉴权访问

但是这样设置之后,这几个 ip 依旧在高频率访问我的服务器,无奈只能先屏蔽 ip 消停一会儿,但过段时间又有别的 ip 继续来

我不理解这两个问题:

5003 次点击
所在节点    程序员
16 条回复
someonesnone
2025 年 6 月 16 日
pt 上传下载比 省间 pcdn 消耗平衡?
jr55475f112iz2tu
2025 年 6 月 16 日
alist 卖给不够科技了,不够科技把用户 token 权限给 PCDN 杂种刷下行,以此盈利吧
docx
2025 年 6 月 16 日
除非你要做永久外链否则最好是都设置有时效性的签名
nanhezzb
2025 年 6 月 16 日
结合前几天的事,不得不让人遐想了。
MacTavish123
2025 年 6 月 16 日
暂时把机器关了吧。毕竟 b 站这两个月很多人像疯了一样上传盗版影视。
skiy
2025 年 6 月 16 日
@czfy 各网盘平台已经把 alist 的接口给下线了。所以你这个理由不存在。还有,那个 api 好像已经下线了。
Ichiban
2025 年 6 月 16 日
@czfy 目前看不至于泄露 token ,泄露域名就够了, /d 这个接口无需鉴权,用域名配合扫小雅这种路径就行

@docx 是真不知道 alist 还有这种设置,正常都是需要登录才能访问的,不知道还有接口能不鉴权直接下载
PlG5sBkXD1ziLeGB
2025 年 6 月 16 日
- 我用的是域名,不可能是 ip 搜索找到的,而且这个域名只有我自己用,这些恶意请求是怎么找到我的域名的?

alist 特征很明显的,fofa 里面一扫就出来了
WizardLeo
2025 年 6 月 16 日
@nanhezzb 收购企业在理论上是可以获取所有用户的 token 的,用不着从 web 端刷流量
ChicC
2025 年 6 月 16 日
/d 是走 webdav 了
itbunan
2025 年 6 月 17 日
如果只自己用的话,加上访问白名单。只允许自己的客户端 IP 访问
totoro625
2025 年 6 月 17 日
电脑里面有迅雷?
paranoiagu
2025 年 6 月 17 日
@ChicC
/d/xxx 这样的格式,是走 webdav 了,是没有认证的吧。
前段时间 xiaoya 就修补了这个漏洞。
sherlocky
2025 年 6 月 17 日
xiaoya 也有 bug ,总是莫名其妙在同步目录多一些自己没看过的电视剧,后来索性直接关了
beyondstars
2025 年 6 月 17 日
用 cloudflare zerotrust 加一层保护试试?
vanchKong
2025 年 6 月 17 日
我也用 nas ,这种问题是怎么排查的啊,咋知道谁是有问题的 IP

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1138978

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX